Redireccionamiento a web peligrosas

Cerrado
Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 09 Jun 2011, 20:37

Pues aparentemente está limpio...



Cabe pensar en que puedes tener algo en el MBR , por si fuera el caso, arranca co el CD de instalacion, pulsa R para entrar en la Consola de Recuperacion, y desde allí ejecuta FIXMBR <enter> , con lo que se implantará el código original de windows.



Luego reinicia normalnete y dinos si persiste la anomalia.



Te adelanto que, en tal caso, buscaremos algun rootkit en ficheros corriendo en proceso oculto, con el [url=http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip]MCAFEE ROOTKIT DETECTIVE[/url], pero tiempo al tiempo.



saludos



ms, 9-6-2011

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 09 Jun 2011, 22:19

Hola de nuevo



¿Te refieres al cd de recuperación que traía el pc ? He arrancado con el mismo y pulsado R pero no accedo a ninguna consola de recuperación, se me reinicia normálmente.



Por si sirve de ayuda adjunto pantallazo de lo que me ocurre:



Sin antivirus o solo con el AVG online me aparecen constantemente y a veces multiplicados estos avisos que voy cerrando y me abren la página de inicio:



[img]http://img546.imageshack.us/img546/6917/zonavirus.jpg[/img]



Con el Malwarebytes activado :



[img]http://img39.imageshack.us/img39/568/zonavirus2.jpg[/img]

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 10 Jun 2011, 07:38

Bueno, en sus imagenes vemos que primero el IE no puede encontrar una direccion enmarañada, y en la segunda imagen que intenta redirigirle a este site:



208.73.210.29 US United States CA California Los Angeles 90071 34.0533 -118.2549 Oversee.net Oversee.net 803



En un Tema de internet aparece informacion sobre dicho site:





_________



22 de febrero 2011 | supervivencia de malware



Hoy nuestro equipo ha analizado el sitio fwhittier.com correspondiente a diocha IP, considerandolo sospechoso. El sitio ofrece música libre, fechas de gira, fotos y vídeos.



Nuestro equipo encontró que el 208.73.210.29 tambien está asociado con el sitio badadchecker.com malware.



Oculto dentro de la porquería del sitio hemos encontrado el Zbot, SpyEye y el famoso rootkit Mebroot!



___________





Está claro que la interceptacion es correcta, solo falta encontrar qué es lo que le redirige a dicho site.







Vemos que usa AVG y tiene una clave de Symantec:



O23 - Service: symlcbrd - Symantec Corporation - C:\WINDOWS\system32\drivers\symlcbrd.sys



si no sabe lo que es, eliminela





y esta otra clave es maliciosa a todas luces, aunque parece que ya no tiene el fichero, pero por si las moscas, eliminela tambien:



**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)





En cualquier caso mire si con el ELIMOVER encuentra este fichero:



C:\WINDOWS\System32\appmgmts.dll



Si lo encuentra lo copiará a C:\muestras sin atributos, y desde allí le será facil enviarnoslo para analizar. En tal caso, proceda a ello.



ELIMOVER

http://www.zonavirus.com/descargas/descargar-elimover.asp





y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware





saludos



ms, 10-6-2011

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 10 Jun 2011, 13:53

Hola , he intentado buscar las claves que me indicasteis con el Buscareg, pero no localiza nada. Manuálmente he localizado el fichero symlcbrd.sys a traves de la ruta C:\WINDOWS\system32\drivers\symlcbrd.sys, pero no me atrevo a eliminarlo, está desde el 2006 ( desde que tengo el pc ) y me indican que podría fastidiar el sistema si lo elimino.





ELIMOVER no localizó el fichero C:\WINDOWS\System32\appmgmts.dll



Por último indicaros que a parte de la IP que os mencioné antes, el antivirus también me bloquea estas otras dos:

212.117.177.13

91.193.194.136

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 10 Jun 2011, 14:54

Pues ahí tienes de donde son estas otras IP:







212.117.177.13 LU Luxembourg 49.7500 6.1667 root SA root SA





91.193.194.136 LV Latvia 57.0000 25.0000 Odessa Hosting Service Odessa Hosting Service



(Por si no estás familiarizado con Latvia, es lo que tambien se conoce como Letonia)



y efectivamente son paises con poco control de las webs ...





Y el fichero indicado de "Symantec" seguramente es algun resto de cuando lo tenías instalado...





Aparte de lo indicado no se ve nada mas sospechoso, pero claro, todos los ficheros y aplicaiones son susceptibles de que les inyecten codigo vírico (menos a nuestras utilidades, gracias a que se autochequea su Checksum)



Seguramente alguna aplicacion de las que usas está modificada, o incluso puede que el MBR...



Por si acaso arranca con el CD de instalaicon de windows, pulsa R para entrar en la Consola de Recuperacion y una vez alli lanza un FIXMBR <enter>





Y tras reiniciar normalmente dinos si tras ello aun persiste la anomalia, y en tal caso sabremos que es de alguna aplicacion o fichero, sino es que estaba en el MBR y con lo indicado se habrá solucionado.



Si aun persiste, arrance en MODO SEGURO CON FUNCIONES DE RED y dinos si asi te pasa, para saber si es de algun fichero del sistema o de aplicaciones complementarias.



saludos



ms, 10-6-2011







ANEXO:



Al releer el Tema veo que ya te habia dicho lo del MBR, y decias que no podías con tu CD de Windows, pues descarga el COPYMBR.EXE y desde Inicio -> Ejecutar, lanza:



COPYMBR /fix



DESCARGA DEL COPYMBR.EXE:

http://www.zonavirus.com/descargas/descargar-copymbr.asp



ms.

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 11 Jun 2011, 02:22

Lo siento, no me queda claro lo último. Ya me he descargado COPYMBR.EXE:, ¿Directamente le doy a ejecutar y lanzo "COPYMBR /fix"???.. ¿O tengo que insertar antes el CD de instalación? Si es la primera opción ya lo lanzé y me dice que Windows no encuentra el archivo COPYMBR .

Anteriórmente ya probé en modo seguro con funciones de red, y al entrar en IE me seguía saliendo los redicc, pero claro no había hecho esto que me indicais ahora.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 11 Jun 2011, 09:21

Debes copiarlo a la carpeta desde donde lo quieres ejecutar, claro, o tenerlo en una carpeta con path, como por ejemplo en C:\windows\system32\



Copialo allí y pruebalo de nuevo



saludos



ms, 11-6-2011

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 12 Jun 2011, 13:37

Lo siento a veces es como si me hablarais en chino :lol: . Supongo que hay que tener unos conocimientos mínimos para ir llevando a cabo todo esto. En fin, aunque el bicho sigue ahí dándome avisos cada dos por tres, me quedo tranquilo a medias ya que me indicásteis que aparéntemente estaba limpio. Por mi doy por cerrado el tema.



Gracias por vuestra paciencia

Salu2



P.D: Ideas de formateo comienzan a nublar mi mente...

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 13 Jun 2011, 19:03

No es nada dificil lo que te decimos... Copia el COPYMBR.EXE a la carpeta C:\windows\system32\ y desde INICIO -> EJECUTAR, lo ejecutas como te decimos:



COPYMBR /FIX



y nos cuentas el resultado, gracias



saludos



ms, 13-6-2011

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 15 Jun 2011, 14:06

OK, Me sale un mensaje diciendo:



Copiado MBR del HD1 al fichero "C:\MBR001.HD1" e Implantado Código en el MBR del HD1

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 15 Jun 2011, 15:21

Pues ahora ya tienes un nuevo código en el MBR.



Reinicia y dinos si persiste la anomalía, gracias



saludos



ms, 15-6-2011

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 16 Jun 2011, 12:06

Hola de nuevo



Continua pero con mucha menos frecuencia. Si antes me indicaba cada dos por tres el bloqueo de intentos de acceso, ahora me aparece apenas uno cada mucho tiempo de estar conectado. Pero seguir sigue ahí. :roll:



Salu2

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 16 Jun 2011, 16:43

Si notas bastante diferencia, algo debía haber malicioso, pero quizas no era en el único sitio.



Como sea que a simple vista no se ve nada mas, lanza el[url=http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip]MCAFEE ROOTKIT DETECTIVE[/url], y nos posteas el informe resultante, a ver si hay algun ROOTKIT que nos oculte informacion...



A la vista de dicho informe, veremos si es el caso.



saludos



ms, 16-6-2011

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 18 Jun 2011, 17:17

[i]Wenas[/i]



Desafortunádamente la situación ha empeorado mucho en las últimas horas. La versión de prueba del Antimalwarebyte´s acaba de caducar y el AVG se muestra incapáz de bloquear los redicconamientos que se están multiplicando por momentos. Tengo que ir cerrrando las susodichas ventanitas con la dirección extraña que a veces son bastantes, y a la vez ir cerrando páginas de inicio de google que se van abriendo simultáneamente, convirtiendo la navegación en un auténtico engorro. :|



Aquí dejo el report del [b]MCAFEE ROOTKIT DETECTIVE[/b]





Object-Type: Registry-key

Object-Name: DataINDOWS\system32\drivers\AVGIDSShim.sys

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data

Status: Hidden



Object-Type: Registry-key

Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-key

Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Item Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Status: Hidden



Object-Type: Registry-key

Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Value

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Installed

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL

Status: Hidden



Object-Type: Registry-value

Object-Name: Installed

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI

Status: Hidden



Object-Type: Registry-value

Object-Name: NoChange

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI

Status: Hidden



Object-Type: Registry-value

Object-Name: Installed

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS

Status: Hidden



Object-Type: Process

Object-Name: services.exe

Pid: 588

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: avgcsrvx.exe

Pid: 2324

Object-Path: C:\Archivos de programa\AVG\AVG10\avgcsrvx.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 248

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: RegSrvc.exe

Pid: 1240

Object-Path: C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

Status: Visible



Object-Type: Process

Object-Name: avgemcx.exe

Pid: 1736

Object-Path: C:\Archivos de programa\AVG\AVG10\avgemcx.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleToolbarNo

Pid: 2232

Object-Path: C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Status: Visible



Object-Type: Process

Object-Name: TPSBattM.exe

Pid: 868

Object-Path: C:\WINDOWS\system32\TPSBattM.exe

Status: Visible



Object-Type: Process

Object-Name: avgchsvx.exe

Pid: 2016

Object-Path: C:\ARCHIV~1\AVG\AVG10\avgchsvx.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1768

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 5860

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 932

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: alg.exe

Pid: 3536

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 3660

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: avgnsx.exe

Pid: 1616

Object-Path: C:\Archivos de programa\AVG\AVG10\avgnsx.exe

Status: Visible



Object-Type: Process

Object-Name: avgtray.exe

Pid: 1988

Object-Path: C:\Archivos de programa\AVG\AVG10\avgtray.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1060

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: CFSvcs.exe

Pid: 1556

Object-Path: C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 3324

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 3076

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 628

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: AVGIDSAgent.exe

Pid: 1620

Object-Path: C:\Archivos de programa\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

Status: Visible



Object-Type: Process

Object-Name: TDispVol.exe

Pid: 1248

Object-Path: C:\WINDOWS\system32\TDispVol.exe

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 2736

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible



Object-Type: Process

Object-Name: wlcomm.exe

Pid: 5216

Object-Path: C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe

Status: Visible



Object-Type: Process

Object-Name: Apoint.exe

Pid: 4008

Object-Path: C:\Archivos de programa\Apoint2K\Apoint.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 2676

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 2924

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 600

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1840

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: avgwdsvc.exe

Pid: 1468

Object-Path: C:\Archivos de programa\AVG\AVG10\avgwdsvc.exe

Status: Visible



Object-Type: Process

Object-Name: EvtEng.exe

Pid: 1376

Object-Path: C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

Status: Visible



Object-Type: Process

Object-Name: iFrmewrk.exe

Pid: 1500

Object-Path: C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 540

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: mbamgui.exe

Pid: 2524

Object-Path: C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 480

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 2836

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 1876

Object-Path: C:\DOCUME~1\JUANPE~1\CONFIG~1\Temp\Rar$EX01.672\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: S24EvMon.exe

Pid: 1412

Object-Path: C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

Status: Visible



Object-Type: Process

Object-Name: RTHDCPL.exe

Pid: 3768

Object-Path: C:\WINDOWS\RTHDCPL.EXE

Status: Visible



Object-Type: Process

Object-Name: agrsmmsg.exe

Pid: 3892

Object-Path: C:\WINDOWS\AGRSMMSG.exe

Status: Visible



Object-Type: Process

Object-Name: TosA2dp.exe

Pid: 3056

Object-Path: c:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

Status: Visible



Object-Type: Process

Object-Name: TosBtHSP.exe

Pid: 2312

Object-Path: c:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1600

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: TPSMain.exe

Pid: 732

Object-Path: C:\WINDOWS\system32\TPSMain.exe

Status: Visible



Object-Type: Process

Object-Name: AVGIDSMonitor.e

Pid: 2840

Object-Path: C:\Archivos de programa\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe

Status: Visible



Object-Type: Process

Object-Name: avgrsx.exe

Pid: 2716

Object-Path: C:\ARCHIV~1\AVG\AVG10\avgrsx.exe

Status: Visible



Object-Type: Process

Object-Name: PadExe.exe

Pid: 1756

Object-Path: C:\Archivos de programa\TOSHIBA\Touch and Launch\PadExe.exe

Status: Visible



Object-Type: Process

Object-Name: ApntEx.exe

Pid: 3492

Object-Path: C:\Archivos de programa\Apoint2K\Apntex.exe

Status: Visible



Object-Type: Process

Object-Name: avgsrmax.exe

Pid: 1384

Object-Path: C:\Archivos de programa\AVG\AVG10\avgsrmax.exe

Status: Visible



Object-Type: Process

Object-Name: aawservice.exe

Pid: 300

Object-Path: C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

Status: Visible



Object-Type: Process

Object-Name: ZCfgSvc.exe

Pid: 1292

Object-Path: C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe

Status: Visible



Object-Type: Process

Object-Name: TosBtMng.exe

Pid: 920

Object-Path: C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 1944

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: Dot1XCfg.exe

Pid: 3124

Object-Path: C:\ARCHIV~1\Intel\Wireless\Bin\Dot1XCfg.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 3744

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: realsched.exe

Pid: 2412

Object-Path: C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1080

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: TFncKy.exe

Pid: 336

Object-Path: C:\Archivos de programa\Toshiba\TOSHIBA Controls\TFncKy.exe

Status: Visible



Object-Type: Process

Object-Name: wcescomm.exe

Pid: 3096

Object-Path: C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

Status: Visible



Object-Type: Process

Object-Name: SimHID.exe

Pid: 988

Object-Path: C:\Archivos de programa\Remote\SimHID\SimHID.exe

Status: Visible



Object-Type: Process

Object-Name: msnmsgr.exe

Pid: 6072

Object-Path: C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

Status: Visible



Object-Type: Process

Object-Name: mbamservice.exe

Pid: 400

Object-Path: C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 3872

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1176

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: TCtrlIOHook.exe

Pid: 432

Object-Path: C:\WINDOWS\system32\TCtrlIOHook.exe

Status: Visible



Scan complete. Hidden registry keys/values: 14

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 19 Jun 2011, 08:30

Pues ya lo indica el resulmen: [i][b]Scan complete. Hidden registry keys/values: 14[/b][/i]

No hay ficheros corriendo en procesos ocultos, como indicaría si fuera el caso, como por ejemplo si hubiera dicho Scan complete. [i][b]Found hidden Processes and Files: X[/b][/i] ,

asi que nos queda que el MBR pueda estar infectado.



Arranca con el CD de instalacion de Windows, pulsa R para entrar en Cónsola de Recuperación y una vez en ella ejecuta FIXMBR <enter> y con ello se sobreescribirá el código que contenga actualmente y se pondrá en su lugar el correcto de windows, eliminando el posible RootKit que hubiera en dicho arranque.



Una vez hecho esto, retira el CD y arranca normalmente, y cuentanos el resultado, gracias



Saludos



ms, 19-6-2011

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 19 Jun 2011, 18:55

Mi pc tenía ya el Windows XP incorporado, lo único que tengo es un cd que traía de recuperacíón del producto para formarear supongo. ¿Me sirve este?.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 19 Jun 2011, 19:20

Si no es el de instalacion de Windows, original de Microsoft, posiblemente no.



Pero como que el ELISTARA no detectó tecnicas Stealth en el MBR, vamos a probar con otra utilidad nuestra, el COPYMBR.EXE



Descargala y copiala en C:\windows\system32\ para que esté en path y pueda ejecutarse desde cualquier parte:



COPYMBR.EXE

http://www.zonavirus.com/descargas/descargar-copymbr.asp



Cuando la tengas allí, vas a Inicio -> Ejecutar y escribe COPYMBR /FIX y pulsas <enter>



Una vez hecho esto, reinicia el ordenador y cuentanos si aun persiste la anomalia, o ya se ha solucionado.



saludos



ms, 19-6-2011

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 21 Jun 2011, 00:57

Pero ese paso ya lo hice, es el último que me indicasteis, y a raiz de los resultados me dijisteis que tenía un nuevo código en el MBR, o algo así. ¿Tengo que volver a repetirlo?

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 21 Jun 2011, 07:21

Pues con el MBR correcto, sin ficheros en procesos ocultos y sin malwares a la vista, mas bien alguna aplicación provoca la anomalía.



Compruebalo arrancando en MODO SEGURO CON FUNCIONES DE RED, y si asi navegas bien, mora las aplicaciones que tienes programadas en el Inicio (puedes verlas con el MSCONFIG) y mira de prescindir de alguna que te provoque el desaguisado, cuando veas que ya no te pasa sin la aplicacion en cuestion, nos envias el fichero para analizar, y añadiremos su control y eliminacion, si procede, en nuestras utilidades, o bien si está modificado por un virus infector, lo sustituiremos por el original para que ya no incordie.



Si quieres, además, lanza ahora el SPROCES y miraremos lo que aun queda en el registro, por si con lo hecho queda visible algo que podamos considerar sospechoso, y te informaremos en tal caso.



saludos



ms, 21-6-2011

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 22 Jun 2011, 01:20

Hola

He Iniciado en modo a prueba de fallos con funciones de red. Al acceder a internet me sucede lo mismo. :roll:





Aqui dejo los resulatdos del SPROCES:



(21-6-2011 23:15:53 GMT)

SProces v5.5 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: YOUR-3A05AD81AF

Usuario: JUANPEDRO

Sesión de Usuario: JUANPEDRO



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\ARCHIV~1\AVG\AVG10\AVGCHSVX.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\EVTENG.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\S24EVMON.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG10\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\CONFIGFREE\CFSVCS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG10\AVGNSX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG10\AVGEMCX.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\REGSRVC.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\ARCHIVOS DE PROGRAMA\APOINT2K\APOINT.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOUCH AND LAUNCH\PADEXE.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG10\IDENTITY PROTECTION\AGENT\BIN\AVGIDSAGENT.EXE

C:\WINDOWS\SYSTEM32\TCTRLIOHOOK.EXE

C:\WINDOWS\SYSTEM32\TPSMAIN.EXE

C:\WINDOWS\SYSTEM32\TDISPVOL.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\ZCFGSVC.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\IFRMEWRK.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG10\AVGTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTMNG.EXE

C:\ARCHIVOS DE PROGRAMA\REMOTE\SIMHID\SIMHID.EXE

C:\WINDOWS\SYSTEM32\TPSBATTM.EXE

C:\ARCHIVOS DE PROGRAMA\APOINT2K\APNTEX.EXE

C:\ARCHIV~1\INTEL\WIRELESS\BIN\DOT1XCFG.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSA2DP.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTHSP.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG10\IDENTITY PROTECTION\AGENT\BIN\AVGIDSMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIV~1\AVG\AVG10\AVGRSX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG10\AVGCSRVX.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\JUANPEDRO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-3115315723-756682868-424984396-1007\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'invitado2')

R0 - HKUS\S-1-5-21-3115315723-756682868-424984396-1007\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'invitado2')

R0 - HKUS\S-1-5-21-3115315723-756682868-424984396-1008\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'invitado 2')

R0 - HKUS\S-1-5-21-3115315723-756682868-424984396-1008\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'invitado 2')

R0 - HKUS\S-1-5-21-3115315723-756682868-424984396-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador.YOUR-3A05AD81AF')

R0 - HKUS\S-1-5-21-3115315723-756682868-424984396-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador.YOUR-3A05AD81AF')

R0 - HKUS\S-1-5-21-3115315723-756682868-424984396-501\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Invitado')

R0 - HKUS\S-1-5-21-3115315723-756682868-424984396-501\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Invitado')

R1 - HKUS\S-1-5-21-3115315723-756682868-424984396-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks= (0) (User 'invitado 2')

R3 - URLSearchHook: (no name) - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - (no file)

R3 - URLSearchHook: softonic.com4 Toolbar - {0974848a-b5bc-49f2-9778-307742b4a55d} - C:\Archivos de programa\softonic.com4\prxtbsof2.dll

F2 - REG:system.ini: Taskman=

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: softonic.com4 - {0974848a-b5bc-49f2-9778-307742b4a55d} - C:\Archivos de programa\softonic.com4\prxtbsof2.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG10\avgssie.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O3 - Toolbar: softonic.com4 Toolbar - {0974848a-b5bc-49f2-9778-307742b4a55d} - C:\Archivos de programa\softonic.com4\prxtbsof2.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [uTorrent] "C:\Archivos de programa\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\JUANPEDRO\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'invitado2')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-1007\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe (User 'invitado2')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-1007\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background (User 'invitado2')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'invitado 2')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-1008\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe (User 'invitado 2')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-1008\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h (User 'invitado 2')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-1008\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background (User 'invitado 2')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-1008\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" (User 'invitado 2')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-1008\..\Run: [BitComet] "C:\Archivos de programa\BitComet\BitComet.exe" /tray (User 'invitado 2')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-1008\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME 2\TomTomHOMERunner.exe" -s (User 'invitado 2')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador.YOUR-3A05AD81AF')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-500\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe (User 'Administrador.YOUR-3A05AD81AF')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-500\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10d.exe (User 'Administrador.YOUR-3A05AD81AF')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-500\..\RunOnce: [spchecker] "C:\Archivos de programa\AVG\AVG10\Notification\SPCheckerTE.exe" (User 'Administrador.YOUR-3A05AD81AF')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-501\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Invitado')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-501\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe (User 'Invitado')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-501\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background (User 'Invitado')

O4 - HKUS\S-1-5-21-3115315723-756682868-424984396-501\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h (User 'Invitado')

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [SVPWUTIL] C:\Archivos de programa\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL

O4 - HKLM\..\Run: [PadTouch] C:\Archivos de programa\TOSHIBA\Touch and Launch\PadExe.exe

O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TDispVol] TDispVol.exe

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [AVG_TRAY] C:\Archivos de programa\AVG\AVG10\avgtray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Global Startup: Bluetooth Manager.lnk = C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

O4 - Global Startup: SimHID.lnk = C:\Archivos de programa\Remote\SimHID\SimHID.exe

O4 - User Startup: Iniciador rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE /tsr (User 'invitado 2')

O8 - Extra context menu item: Crawler Search - (no file)

O8 - Extra context menu item: E&xportar a Microsoft Excel - (no file)

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

O8 - Extra context menu item: &D&escargue &con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm (User 'invitado 2')

O8 - Extra context menu item: &D&escargue todo con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm (User 'invitado 2')

O8 - Extra context menu item: &D&escargue todos los vídeos con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm (User 'invitado 2')

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html (User 'invitado 2')

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\JUANPEDRO\Menú Inicio\Programas\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NWPROVAU.DLL

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/9/b/d/9bdc68ef-6a9f-4505-8fb8-d0d2d160e512/LegitCheckControl.cab

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228397251109

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG10\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mctp - {D7B95390-B1C5-11D0-B111-0080C712FE82} - C:\Archivos de programa\Microsoft ActiveSync\aatp.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: - {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.4.9.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

O23 - Service: WatchDog de AVG (avgwd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG10\avgwdsvc.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: DLABOIOM - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLABOIOM.SYS

O23 - Service: DLADResN - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLADResN.SYS

O23 - Service: DLAIFS_M - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLAIFS_M.SYS

O23 - Service: DLAOPIOM - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLAOPIOM.SYS

O23 - Service: DLAPoolM - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLAPoolM.SYS

O23 - Service: DLAUDFAM - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLAUDFAM.SYS

O23 - Service: DLAUDF_M - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLAUDF_M.SYS

O23 - Service: DRVNDDM - Sonic Solutions - C:\WINDOWS\SYSTEM32\Drivers\DRVNDDM.SYS

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: TOSHIBA Network Device Usermode I/O Protocol (Netdevio) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\netdevio.sys

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Transporte WLAN (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys

O23 - Service: Servicio de restauración de sistema (srservice) - Unknown owner - (file missing)

O23 - Service: symlcbrd - Symantec Corporation - C:\WINDOWS\system32\drivers\symlcbrd.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: 03622 - Unknown owner - C:\WINDOWS\system32\03622.sys (file missing)

O23 - Service: 04220 - Unknown owner - C:\WINDOWS\system32\04220.sys (file missing)

O23 - Service: 07b18 - Unknown owner - C:\WINDOWS\system32\07b18.sys (file missing)

O23 - Service: 156C - Unknown owner - C:\WINDOWS\system32\156C.sys (file missing)

O23 - Service: 20e1C - Unknown owner - C:\WINDOWS\system32\20e1C.sys (file missing)

O23 - Service: 3ee17 - Unknown owner - C:\WINDOWS\system32\3ee17.sys (file missing)

O23 - Service: 416B - Unknown owner - C:\WINDOWS\system32\416B.sys (file missing)

O23 - Service: 4432F - Unknown owner - C:\WINDOWS\system32\4432F.sys (file missing)

O23 - Service: 4c114 - Unknown owner - C:\WINDOWS\system32\4c114.sys (file missing)

O23 - Service: 4dcA - Unknown owner - C:\WINDOWS\system32\4dcA.sys (file missing)

O23 - Service: 54e2E - Unknown owner - C:\WINDOWS\system32\54e2E.sys (file missing)

O23 - Service: 5f72B - Unknown owner - C:\WINDOWS\system32\5f72B.sys (file missing)

O23 - Service: 6e58 - Unknown owner - C:\WINDOWS\system32\6e58.sys (file missing)

O23 - Service: 7176 - Unknown owner - C:\WINDOWS\system32\7176.sys (file missing)

O23 - Service: 7334 - Unknown owner - C:\WINDOWS\system32\7334.sys (file missing)

O23 - Service: 7542C - Unknown owner - C:\WINDOWS\system32\7542C.sys (file missing)

O23 - Service: 770F - Unknown owner - C:\WINDOWS\system32\770F.sys (file missing)

O23 - Service: 7a326 - Unknown owner - C:\WINDOWS\system32\7a326.sys (file missing)

O23 - Service: 83413 - Unknown owner - C:\WINDOWS\system32\83413.sys (file missing)

O23 - Service: 96a2A - Unknown owner - C:\WINDOWS\system32\96a2A.sys (file missing)

O23 - Service: 9b4C - Unknown owner - C:\WINDOWS\system32\9b4C.sys (file missing)

O23 - Service: a613 - Unknown owner - C:\WINDOWS\system32\a613.sys (file missing)

O23 - Service: ae923 - Unknown owner - C:\WINDOWS\system32\ae923.sys (file missing)

O23 - Service: TOSHIBA V92 Software Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: AIDA32Driver - Unknown owner - C:\DOCUME~1\JUANPE~1\CONFIG~1\Temp\Rar$EX10.656\aida32.sys (file missing)

O23 - Service: Alps Pointing-device Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys

**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: AVGIDSDriver - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSDriver.Sys

O23 - Service: AVGIDSFilter - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSFilter.Sys

O23 - Service: AVGIDSShim - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSShim.Sys

O23 - Service: b5c1A - Unknown owner - C:\WINDOWS\system32\b5c1A.sys (file missing)

O23 - Service: ba316 - Unknown owner - C:\WINDOWS\system32\ba316.sys (file missing)

O23 - Service: ba712 - Unknown owner - C:\WINDOWS\system32\ba712.sys (file missing)

O23 - Service: c7b28 - Unknown owner - C:\WINDOWS\system32\c7b28.sys (file missing)

O23 - Service: d0c1F - Unknown owner - C:\WINDOWS\system32\d0c1F.sys (file missing)

O23 - Service: d4bE - Unknown owner - C:\WINDOWS\system32\d4bE.sys (file missing)

O23 - Service: dc92 - Unknown owner - C:\WINDOWS\system32\dc92.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: e181E - Unknown owner - C:\WINDOWS\system32\e181E.sys (file missing)

O23 - Service: e1f24 - Unknown owner - C:\WINDOWS\system32\e1f24.sys (file missing)

O23 - Service: e6830 - Unknown owner - C:\WINDOWS\system32\e6830.sys (file missing)

O23 - Service: e9a7 - Unknown owner - C:\WINDOWS\system32\e9a7.sys (file missing)

O23 - Service: ed81B - Unknown owner - C:\WINDOWS\system32\ed81B.sys (file missing)

O23 - Service: f7510 - Unknown owner - C:\WINDOWS\system32\f7510.sys (file missing)

O23 - Service: fef27 - Unknown owner - C:\WINDOWS\system32\fef27.sys (file missing)

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVUSBSta.sys

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\system32\drivers\mbam.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Logitech QuickCam IM(PID_PEPI) (PID_PEPI) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LV302V32.SYS

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Sony Ericsson Device 044 Driver driver (WDM) (SE2Cbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cbus.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Splitcam, WDM Camera Stream Splitter (SPLITCAM) - LoteSoft Co. - C:\WINDOWS\SYSTEM32\DRIVERS\splitcam.sys

O23 - Service: SVRPEDRV - Unknown owner - C:\DOCUME~1\JUANPE~1\CONFIG~1\Temp\Rar$EX04.313\Tool3EMEASP_0822\PEDrv.sys (file missing)

O23 - Service: Anchorfree HSS Adapter (taphss) - AnchorFree Inc - C:\WINDOWS\SYSTEM32\DRIVERS\taphss.sys

O23 - Service: TAP VPN Adapter (tapvpn) - The OpenVPN Project - C:\WINDOWS\SYSTEM32\DRIVERS\tapvpn.sys

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: TomTomHOMEService - TomTom - C:\Archivos de programa\TomTom HOME 2\TomTomHOMEService.exe

O23 - Service: TOSHIBA Bluetooth HID port driver (toshidpt) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\drivers\Toshidpt.sys

O23 - Service: Bluetooth Port Driver from Toshiba (tosporte) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tosporte.sys

O23 - Service: Bluetooth RFBUS from TOSHIBA (Tosrfbd) - TOSHIBA CORPORATION - C:\WINDOWS\SYSTEM32\Drivers\tosrfbd.sys

O23 - Service: Bluetooth RFBNEP from TOSHIBA (Tosrfbnp) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\Drivers\tosrfbnp.sys

O23 - Service: Bluetooth ACPI from TOSHIBA (tosrfec) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfec.sys

O23 - Service: Bluetooth RFHID from TOSHIBA (Tosrfhid) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\Tosrfhid.sys

O23 - Service: Bluetooth Personal Area Network from TOSHIBA (tosrfnds) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfnds.sys

O23 - Service: Bluetooth Audio Device (WDM) from TOSHIBA (TosRfSnd) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\drivers\TosRfSnd.sys

O23 - Service: Bluetooth USB Controller (Tosrfusb) - TOSHIBA CORPORATION - C:\WINDOWS\SYSTEM32\Drivers\tosrfusb.sys

O23 - Service: TOSHIBA Virtual Sound with SRS technologies (Tvs) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Tvs.sys

O23 - Service: Energizer Usb Charger Driver (UCharger) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\UCharger.sys

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: Easy TV USB Hybrid Pro Device (USB28xxBGA) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emBDA.sys

O23 - Service: USB 28xx OEM Filter (USB28xxOEM) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emOEM.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: TuneUp Ampliación del thema (UxTuneUp) - TuneUp Software - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\uxtuneup.dll

O23 - Service: Intel(R) PRO/Wireless 3945ABG Adapter Driver (w39n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w39n51.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe



115 Servicios.

23 de Carga Automatica.

87 de Carga Manual.

5 Deshabilitados.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 22 Jun 2011, 09:27

Nada anormal visible en el log, mas bien debe haber algo embebido en alguna aplicacion...



Como simples indicaciones al respecto, cabe indicar que esta clave parece que usa un fichero oculto o inexistente. revisa dicho link IMVU.lnk , a ver qué es y si no lo conoces, envianos el fichero que ejecuta dicho lnk:



O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\JUANPEDRO\Menú Inicio\Programas\IMVU\Run IMVU.lnk (file missing)







Pero si dices que ya aparece incluso en modo seguro, te indico que esta clave se carga igualmente en dicho modo:



**O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe



Ya vemos que parece ser de Ad-Aware, pero ...







y vemos que usas AVG10 y que tienes esta clave de Symantec, quizas de una instalacion anterior ???:



O23 - Service: symlcbrd - Symantec Corporation - C:\WINDOWS\system32\drivers\symlcbrd.sys



Dinos si es voluntaria y si no, añade .VIR a su extension.





Es cuanto podemos decirte, cuentanos tus progresos al respecto, gracias



saludos



ms, 22-6-2011

juanpe74
Novato
Novato
Mensajes: 19
Registrado: 05 Jun 2011, 13:53

Re: Redireccionamiento a web peligrosas

Mensaje por juanpe74 » 05 Jul 2011, 00:23

Hola

He instalado el nuevo navegador Google Chrome y curiósamente ya no me ocurre el problema. Sin embargo con el I.E.8 y el Firefox aun persiste. ¿Puede ser por que el Chrome bloquea los pop ups y ventanas emergentes ???.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 05 Jul 2011, 09:01

Sí, podría ser que aplicaciones que no fueran ejecutadas, por ser bloquedas, fueran las que lo provocan claro, igualmente que estas tres, que se cargan con dichos navegadores:



R3 - URLSearchHook: softonic.com4 Toolbar - {0974848a-b5bc-49f2-9778-307742b4a55d} - C:\Archivos de programa\softonic.com4\prxtbsof2.dll

O2 - BHO: softonic.com4 - {0974848a-b5bc-49f2-9778-307742b4a55d} - C:\Archivos de programa\softonic.com4\prxtbsof2.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll


Eliminelas y vea si tras reinicia, lanzando el IE, persiste o no la inicidencia, y nos lo comenta, gracias

saludos

ms, 6-7-2011

manuelsoy
Novato
Novato
Mensajes: 1
Registrado: 05 Ene 2018, 17:09

Re: Redireccionamiento a web peligrosas

Mensaje por manuelsoy » 05 Ene 2018, 17:14

Muchas gracias por el aporte! Me pasaba más o menos lo mismo y yo creo que gracias a vosotros he podido ir arreglándolo! :D

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90815
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Redireccionamiento a web peligrosas

Mensaje por msc hotline sat » 07 Ene 2018, 09:10

Pues como que el Tema ya es antiguo, celebramos que le haya sido util y procedemos a carrarlo

Si nos necesitan de nuevo, ya saben donde estamos

saludos
ms, 7-1-2017

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 15 invitados