Posible spyware
Posible spyware
Hola!
Necesito vuestra ayuda ya que creo que tengo algún troyano o similar.
Las búsquedas en google no me funcionan, internet me va muy lento y cada vez que desde google quiero enlazar a alguna página, me redirige a un página no deseada.
He pasado (en modo a prueba a de fallos) tanto un antivirus como un antispyware, pero el problema persiste.
Agradecería que me asesorárais sobre los pasos a seguir para poder solucionar el problema.
Muchas gracias
Un saludo
Necesito vuestra ayuda ya que creo que tengo algún troyano o similar.
Las búsquedas en google no me funcionan, internet me va muy lento y cada vez que desde google quiero enlazar a alguna página, me redirige a un página no deseada.
He pasado (en modo a prueba a de fallos) tanto un antivirus como un antispyware, pero el problema persiste.
Agradecería que me asesorárais sobre los pasos a seguir para poder solucionar el problema.
Muchas gracias
Un saludo
Re: Posible spyware
Hola, descargate esta herramienta que te indico y peganos el log que te dejara en C Infosat.txt, saludos
http://www.zonavirus.com/descargas/descargar-elistara.asp
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Posible spyware
Y aparte de lo correctamente indicado pr lucl, si tras reiniciar no hubiera sido suficiente (cada dia hay nuevos malwares que tenemos que ir controlando) , ademas del infosat.txt, posteanos el contenido de c:\sproclog.txt que te generará el SPROCES tras probarlo y pulsar en SALIR:
lo analizaremos e informaremos al respecto.
saludos
ms, 25-4-2011
[quote="msc"][b]SPROCES.EXE(herramienta de investigación) [/b] http://www.zonavirus.com/descargas/sproces.asp
Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT[/quote]
lo analizaremos e informaremos al respecto.
saludos
ms, 25-4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Posible spyware
Hola, lo primero de todo muchas gracias.
Desconozco el motivo pero no se me ha generado el fichero infosat.txt.
Sólo os puedo aportar el fichero que ha generado el sproces. Aquí va:
(25-4-2011 19:49:46 GMT)
SProces v5.3 (c)2010 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v6.0.2900.2180) ;SP2;
Nombre Equipo: MORENO
Nombre Usuario: user
Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MICROSOFT\CONHOST.EXE
C:\DOCUME~1\USER\CONFIG~1\TEMP\CSRSS.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOCUMENTS AND SETTINGS\USER\ESCRITORIO\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:51414 (1)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
F2 - REG:system.ini: Shell=explorer.exe,C:\Documents and Settings\user\Datos de programa\dwm.exe (HKCU)
F3 - REG:win.ini: load=C:\DOCUME~1\user\CONFIG~1\Temp\csrss.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Archivos de programa\facemoods.com\facemoods\1.4.17.5\bh\facemoods.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Archivos de programa\OfferBox\OfferBoxBHO.dll
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Archivos de programa\facemoods.com\facemoods\1.4.17.5\facemoodsTlbr.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Archivos de programa\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [ControlCenter] "C:\Archivos de programa\IBM fingerprint software\ctlcntr.exe" /startup
O4 - HKLM\..\Run: [EZEJMNAP] C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCTRAY] C:\Archivos de programa\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Archivos de programa\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [facemoods] "C:\Archivos de programa\facemoods.com\facemoods\1.4.17.5\facemoodssrv.exe" /md I
O4 - HKLM\..\Run: [RegistrarUsrDNIeCertStoreDLL] "C:\Archivos de programa\DNIe\udcs.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\user\Datos de programa\Microsoft\conhost.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\user\Datos de programa\Dropbox\bin\Dropbox.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = C:\Archivos de programa\ThinkPad\Bluetooth Software\BTTray.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Actualizar el software del ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Archivos de programa\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_23) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) -https://www2.agenciatributaria.gob.es/es13/h/cactivex.cab
O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} (Java Plug-in 1.4.2) -http://java.sun.com/products/plugin/1.4.2/jinstall-142-win.cab
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL
O20 - Winlogon Notify: PSFUS - C:\ARCHIVOS DE PROGRAMA\IBM FINGERPRINT SOFTWARE\PSFUS.DLL
O20 - Winlogon Notify: QCONGINA - QCONGINA.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
Información Adicional:
----------------------
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\HSF_CNXT.sys (de 685184 bytes) () Conexant Systems, Inc.
WinSys\Drivers\ialmnt5.sys (de 827996 bytes) () Intel Corporation
WinSys\Drivers\mrxsmb.sys (de 454016 bytes) () Microsoft Corporation
WinSys\Drivers\ntfs.sys (de 574592 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.1.6.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys
O23 - Service: Application Policy Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Application Policy Service\svchost.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Archivos de programa\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: drvnddm - Sonic Solutions - C:\WINDOWS\SYSTEM32\drivers\drvnddm.sys
O23 - Service: IBM Access Support (EGATHDRV) - IBM Corporation - C:\WINDOWS\SYSTEM32\EGATHDRV.SYS
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: ibmfilter - IBM - C:\WINDOWS\system32\drivers\ibmfilter.sys
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\SYSTEM32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLAN Transport (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys
O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSI323.tmp
O23 - Service: SMI helper driver (SmiHlp) - UPEK Inc. - C:\Archivos de programa\IBM fingerprint software\smihlp.sys
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: tfsnboio - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnboio.sys
O23 - Service: tfsncofs - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsncofs.sys
O23 - Service: tfsndrct - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsndrct.sys
O23 - Service: tfsndres - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsndres.sys
O23 - Service: tfsnifs - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnifs.sys
O23 - Service: tfsnopio - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnopio.sys
O23 - Service: tfsnpool - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnpool.sys
O23 - Service: tfsnudf - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnudf.sys
O23 - Service: tfsnudfa - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnudfa.sys
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\SYSTEM32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Archivos de programa\Archivos comunes\Virtual Token\vtserver.exe
O23 - Service: Windows Internet Name Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Servicio de instalación del controlador de audio (WDM) de Intel(r) 82801 (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys
O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Broadcom NetXtreme Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys
O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys
O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys
O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys
O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys
O23 - Service: CmdIde - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Controlador del adaptador Intel(R) PRO (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys
O23 - Service: HSFHWICH - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWICH.sys
O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys
O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys
O23 - Service: IBMPMDRV - IBM Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\ibmpmdrv.sys
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Controladora de dispositivo de infrarrojos NSC (NSCIRDA) - National Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nscirda.sys
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: PCDRNDISUIO Usermode I/O Protocol (PcdrNdisuio) - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\pcdrndisuio.sys
O23 - Service: IBM PSA Access Driver (psadd) - IBM Corporation - C:\WINDOWS\system32\Drivers\psadd.sys
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: QCNDISIF - IBM Corporation. - C:\WINDOWS\SYSTEM32\drivers\qcndisif.SYS
O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys
O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys
O23 - Service: TC USB Kernel Driver (TcUsb) - UPEK Inc. - C:\WINDOWS\SYSTEM32\Drivers\tcusb.sys
O23 - Service: TPInput - IBM Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\TPInput.sys
O23 - Service: NSC Integrated Trusted Platform Module 1.1 (TPM11) - National Semiconductor Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\nsctpm11.sys
O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2915ABG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys
O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys
Listado de Servicios (Deshabilitados):
--------------------------------------
O23 - Service: AliIde - Acer Laboratories Inc. - C:\WINDOWS\system32\DRIVERS\aliide.sys
O23 - Service: Controlador de filtro de bus AMD AGP (amdagp) - Advanced Micro Devices, Inc. - C:\WINDOWS\system32\DRIVERS\amdagp.sys
O23 - Service: asc - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc.sys
O23 - Service: asc3550 - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc3550.sys
O23 - Service: dac2w2k - Mylex Corporation - C:\WINDOWS\system32\DRIVERS\dac2w2k.sys
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)
O23 - Service: mraid35x - American Megatrends Inc. - C:\WINDOWS\system32\DRIVERS\mraid35x.sys
O23 - Service: ql1080 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1080.sys
O23 - Service: ql12160 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql12160.sys
O23 - Service: ql1280 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1280.sys
O23 - Service: Filtro de bus SIS AGP (sisagp) - Silicon Integrated Systems Corporation - C:\WINDOWS\system32\DRIVERS\sisagp.sys
O23 - Service: Sparrow - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\sparrow.sys
O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\system32\DRIVERS\symc810.sys
O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\system32\DRIVERS\symc8xx.sys
O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_hi.sys
O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_u3.sys
O23 - Service: ultra - Promise Technology, Inc. - C:\WINDOWS\system32\DRIVERS\ultra.sys
83 Servicios.
33 de Carga Automatica.
32 de Carga Manual.
18 Deshabilitados.
Un saludo,
Gracias,
Desconozco el motivo pero no se me ha generado el fichero infosat.txt.
Sólo os puedo aportar el fichero que ha generado el sproces. Aquí va:
(25-4-2011 19:49:46 GMT)
SProces v5.3 (c)2010 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v6.0.2900.2180) ;SP2;
Nombre Equipo: MORENO
Nombre Usuario: user
Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MICROSOFT\CONHOST.EXE
C:\DOCUME~1\USER\CONFIG~1\TEMP\CSRSS.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOCUMENTS AND SETTINGS\USER\ESCRITORIO\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:51414 (1)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
F2 - REG:system.ini: Shell=explorer.exe,C:\Documents and Settings\user\Datos de programa\dwm.exe (HKCU)
F3 - REG:win.ini: load=C:\DOCUME~1\user\CONFIG~1\Temp\csrss.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Archivos de programa\facemoods.com\facemoods\1.4.17.5\bh\facemoods.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Archivos de programa\OfferBox\OfferBoxBHO.dll
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Archivos de programa\facemoods.com\facemoods\1.4.17.5\facemoodsTlbr.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Archivos de programa\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [ControlCenter] "C:\Archivos de programa\IBM fingerprint software\ctlcntr.exe" /startup
O4 - HKLM\..\Run: [EZEJMNAP] C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCTRAY] C:\Archivos de programa\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Archivos de programa\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [facemoods] "C:\Archivos de programa\facemoods.com\facemoods\1.4.17.5\facemoodssrv.exe" /md I
O4 - HKLM\..\Run: [RegistrarUsrDNIeCertStoreDLL] "C:\Archivos de programa\DNIe\udcs.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\user\Datos de programa\Microsoft\conhost.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\user\Datos de programa\Dropbox\bin\Dropbox.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = C:\Archivos de programa\ThinkPad\Bluetooth Software\BTTray.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Actualizar el software del ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Archivos de programa\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_23) -
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) -
O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} (Java Plug-in 1.4.2) -
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) -
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL
O20 - Winlogon Notify: PSFUS - C:\ARCHIVOS DE PROGRAMA\IBM FINGERPRINT SOFTWARE\PSFUS.DLL
O20 - Winlogon Notify: QCONGINA - QCONGINA.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
Información Adicional:
----------------------
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\HSF_CNXT.sys (de 685184 bytes) () Conexant Systems, Inc.
WinSys\Drivers\ialmnt5.sys (de 827996 bytes) () Intel Corporation
WinSys\Drivers\mrxsmb.sys (de 454016 bytes) () Microsoft Corporation
WinSys\Drivers\ntfs.sys (de 574592 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.1.6.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys
O23 - Service: Application Policy Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Application Policy Service\svchost.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Archivos de programa\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: drvnddm - Sonic Solutions - C:\WINDOWS\SYSTEM32\drivers\drvnddm.sys
O23 - Service: IBM Access Support (EGATHDRV) - IBM Corporation - C:\WINDOWS\SYSTEM32\EGATHDRV.SYS
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: ibmfilter - IBM - C:\WINDOWS\system32\drivers\ibmfilter.sys
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\SYSTEM32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLAN Transport (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys
O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSI323.tmp
O23 - Service: SMI helper driver (SmiHlp) - UPEK Inc. - C:\Archivos de programa\IBM fingerprint software\smihlp.sys
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: tfsnboio - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnboio.sys
O23 - Service: tfsncofs - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsncofs.sys
O23 - Service: tfsndrct - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsndrct.sys
O23 - Service: tfsndres - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsndres.sys
O23 - Service: tfsnifs - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnifs.sys
O23 - Service: tfsnopio - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnopio.sys
O23 - Service: tfsnpool - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnpool.sys
O23 - Service: tfsnudf - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnudf.sys
O23 - Service: tfsnudfa - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnudfa.sys
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\SYSTEM32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Archivos de programa\Archivos comunes\Virtual Token\vtserver.exe
O23 - Service: Windows Internet Name Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Servicio de instalación del controlador de audio (WDM) de Intel(r) 82801 (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys
O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Broadcom NetXtreme Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys
O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys
O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys
O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys
O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys
O23 - Service: CmdIde - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Controlador del adaptador Intel(R) PRO (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys
O23 - Service: HSFHWICH - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWICH.sys
O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys
O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys
O23 - Service: IBMPMDRV - IBM Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\ibmpmdrv.sys
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Controladora de dispositivo de infrarrojos NSC (NSCIRDA) - National Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nscirda.sys
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: PCDRNDISUIO Usermode I/O Protocol (PcdrNdisuio) - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\pcdrndisuio.sys
O23 - Service: IBM PSA Access Driver (psadd) - IBM Corporation - C:\WINDOWS\system32\Drivers\psadd.sys
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: QCNDISIF - IBM Corporation. - C:\WINDOWS\SYSTEM32\drivers\qcndisif.SYS
O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys
O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys
O23 - Service: TC USB Kernel Driver (TcUsb) - UPEK Inc. - C:\WINDOWS\SYSTEM32\Drivers\tcusb.sys
O23 - Service: TPInput - IBM Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\TPInput.sys
O23 - Service: NSC Integrated Trusted Platform Module 1.1 (TPM11) - National Semiconductor Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\nsctpm11.sys
O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2915ABG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys
O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys
Listado de Servicios (Deshabilitados):
--------------------------------------
O23 - Service: AliIde - Acer Laboratories Inc. - C:\WINDOWS\system32\DRIVERS\aliide.sys
O23 - Service: Controlador de filtro de bus AMD AGP (amdagp) - Advanced Micro Devices, Inc. - C:\WINDOWS\system32\DRIVERS\amdagp.sys
O23 - Service: asc - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc.sys
O23 - Service: asc3550 - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc3550.sys
O23 - Service: dac2w2k - Mylex Corporation - C:\WINDOWS\system32\DRIVERS\dac2w2k.sys
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)
O23 - Service: mraid35x - American Megatrends Inc. - C:\WINDOWS\system32\DRIVERS\mraid35x.sys
O23 - Service: ql1080 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1080.sys
O23 - Service: ql12160 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql12160.sys
O23 - Service: ql1280 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1280.sys
O23 - Service: Filtro de bus SIS AGP (sisagp) - Silicon Integrated Systems Corporation - C:\WINDOWS\system32\DRIVERS\sisagp.sys
O23 - Service: Sparrow - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\sparrow.sys
O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\system32\DRIVERS\symc810.sys
O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\system32\DRIVERS\symc8xx.sys
O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_hi.sys
O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_u3.sys
O23 - Service: ultra - Promise Technology, Inc. - C:\WINDOWS\system32\DRIVERS\ultra.sys
83 Servicios.
33 de Carga Automatica.
32 de Carga Manual.
18 Deshabilitados.
Un saludo,
Gracias,
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Posible spyware
pUES DE ENTRADA VEMOS QUE LE FALTAN MUCHOS PARCHES:
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Internet Explorer: (v6.0.2900.2180) ;SP2;
Lance un windowsupdate, y que instale los parches pendientes, SP3 y demás, aparte del IE8, ya que Microsoft ya enterró el IE6 !
Luego elimine esta clave:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
Para ello, lance el SPROCES; pulse en SCAN, marque dicha clave y seleccione ELIMINAR.
Aparte, añada .VIR a la extension de estos ficheros:
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE
C:\DOCUME~1\USER\CONFIG~1\TEMP\CSRSS.EXE
C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Application Policy Service\svchost.exe
C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe
y envienoslos para analizar:
>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b] :
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 26-4-2011
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Internet Explorer: (v6.0.2900.2180) ;SP2;
Lance un windowsupdate, y que instale los parches pendientes, SP3 y demás, aparte del IE8, ya que Microsoft ya enterró el IE6 !
Luego elimine esta clave:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
Para ello, lance el SPROCES; pulse en SCAN, marque dicha clave y seleccione ELIMINAR.
Aparte, añada .VIR a la extension de estos ficheros:
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE
C:\DOCUME~1\USER\CONFIG~1\TEMP\CSRSS.EXE
C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Application Policy Service\svchost.exe
C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe
y envienoslos para analizar:
>
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 26-4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Posible spyware
Ya he eliminado la entrada R3....
También os he enviado los archivos que me habéis indicado, salvo el C:\DOCUME~1\USER\CONFIG~1\TEMP\CSRSS.EXE ya que no lo encuentro.
Me queda realizar las actualizaciones de windows y descargar la versión 8 de internet explorer.
Un saludo.
Gracias
También os he enviado los archivos que me habéis indicado, salvo el C:\DOCUME~1\USER\CONFIG~1\TEMP\CSRSS.EXE ya que no lo encuentro.
Me queda realizar las actualizaciones de windows y descargar la versión 8 de internet explorer.
Un saludo.
Gracias
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Posible spyware
En un par de horas, cuanto entremos al trabajo en SATINFO, esperamos encontrar los ficheros que dices haber enviado y tras analizarlos informaremos
El que dices que no has encontrado era un temporal, y puede que ya no lo tengas. Pero con los otros se supone que será suficiente:)
Hasta pronto.
saludos
ms, 27-4-2011
El que dices que no has encontrado era un temporal, y puede que ya no lo tengas. Pero con los otros se supone que será suficiente
Hasta pronto.
saludos
ms, 27-4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Posible spyware
Efectivamente, recibidos los ficheros que nos has enviado, ya en el primero detectamos una variante del Backdoor CYCBOT, que pasaremos a controlar a partir del ELITRIIP de hoy, de lo cual informaremos
Los demas seran igualmente analizados y controlados quizas por el ELISTARA, segun veamos lo que son.
Cuando tengamos mas informacion se comunicará.
saludos
ms,27.4.2011
Los demas seran igualmente analizados y controlados quizas por el ELISTARA, segun veamos lo que son.
Cuando tengamos mas informacion se comunicará.
saludos
ms,27.4.2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Posible spyware
Monitorizados los ficheros enviados, han resultado ser variantes de tres troyanos conocidos.
Tal como ya indicamos, el DWM es una variante del Backdoor CYCBOT que pasamos a controlar a partir del ELITRIIP de hoy 7.40
Y los otros dos, el SVCHOST es una variante del Trojan BUZY y el WINS lo es del Trojan MUWYD, que pasan a ser controlados a partir del ELISTARA 23.11
A partir de las 19 horas CEST de hoy, estarán disponibles en nuestra web
saludos
ms, 27--4-2011
Tal como ya indicamos, el DWM es una variante del Backdoor CYCBOT que pasamos a controlar a partir del ELITRIIP de hoy 7.40
Y los otros dos, el SVCHOST es una variante del Trojan BUZY y el WINS lo es del Trojan MUWYD, que pasan a ser controlados a partir del ELISTARA 23.11
A partir de las 19 horas CEST de hoy, estarán disponibles en nuestra web
saludos
ms, 27--4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Posible spyware
Gracias!!
Están ya disponibles? Podríais confirmarme cómo tengo que hacer? Supongo que me tengo que descargar los dos programas a los que hacéis referencia.
Un saludo,
Están ya disponibles? Podríais confirmarme cómo tengo que hacer? Supongo que me tengo que descargar los dos programas a los que hacéis referencia.
Un saludo,
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Posible spyware
Si, claro:
[b] ELISTARA: [/b]
http://www.zonavirus.com/descargas/elistara.asp
[b] ELITRIIP: [/b]
http://www.zonavirus.com/descargas/elitriip.asp
tras probar los dos, posteanos con un copiar del contenido de c:\infosat.txt, el informe resultante
saludos
ms, 28-4-2011
tras probar los dos, posteanos con un copiar del contenido de c:\infosat.txt, el informe resultante
saludos
ms, 28-4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Posible spyware
Hola, os mando el contenido del fichero infosat.txt.
Deciros que ahora también me aparece un mensaje de error de conhost.exe.
Un saludo
Gracias
(28-4-2011 18:57:49 (GMT))
EliStartPage v23.12 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2011)
--------------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\Config\Systemprofile\\Configuración local\Datos de programa\Windows Internet Name Service\WINS.EXE.VIR --> Eliminado.
Eliminado Servicio, "Windows Internet Name Service"
Detectado Proxy Activo: http=127.0.0.1:49152
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(28-4-2011 19:06:06 (GMT))
EliStartPage v23.12 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2011)
--------------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Documents and Settings\user\Escritorio\virus\SVCHOST.EXE.VIR --> Eliminado, Trojan.Buzy
C:\Documents and Settings\user\Escritorio\virus\WINS.EXE.VIR --> Eliminado, Trojan.Muwid
C:\IBMTOOLS\drivers\HOTKEY\OSD\COMMON\TPHKLOCK.DLL --> Eliminado, Spy-Agent.KJ
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP205\A0037870.DLL --> Eliminado, MyWebSearch
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0038008.DLL --> Eliminado, Spy-Agent.KJ
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0040061.EXE --> Eliminado, Trojan.Buzy
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0040062.EXE --> Eliminado, Trojan.Muwid
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0041107.DLL --> Eliminado, Spy-Agent.KJ
C:\WINDOWS\system32\TPHKLOCK.DLL.VIR --> Eliminado, Spy-Agent.KJ
C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Application Policy Service\SVCHOST.EXE.VIR --> Eliminado, Trojan.Buzy
Nº Total de Directorios: 6964
Nº Total de Ficheros: 68191
Nº de Ficheros Analizados: 23702
Nº de Ficheros Infectados: 10
Nº de Ficheros Limpiados: 10
(28-4-2011 19:22:59 (GMT))
EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)
---------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\CSRSS.EXE.Muestra EliTriIP v7.40
a "virus@satinfo.es ". Gracias.
C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\TEMP\\CSRSS.EXE --> Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\CONHOST.EXE.Muestra EliTriIP v7.40
a "virus@satinfo.es ". Gracias.
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MICROSOFT\CONHOST.EXE --> Eliminado
C:\Documents and Settings\user\Datos de programa\DWM.EXE.VIR --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\DWM.EXE.Muestra EliTriIP v7.40
a "virus@satinfo.es ". Gracias.
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "conhost"="C:\Documents and Settings\user\Datos de programa\Microsoft\conhost.exe"
No detectado SP3 de Windows XP
Reinicie para Completar la Limpieza.
(28-4-2011 19:28:02 (GMT))
EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)
---------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Documents and Settings\user\Escritorio\virus\dwm.exe.vir --> Eliminado, BackDoor.CycBot
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0040060.exe --> Eliminado, BackDoor.CycBot
Nº Total de Directorios: 6982
Nº Total de Ficheros: 68416
Nº de Ficheros Analizados: 20076
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
(28-4-2011 19:31:48 (GMT))
EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)
---------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Acción Directa):
C:\Documents and Settings\user\Configuración local\Temp\\CSRSS.EXE.VIR --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CSRSS.EXE.Muestra EliTriIP v7.40
a "virus@satinfo.es ". Gracias.
C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\TEMP\\CSRSS.EXE --> Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\CONHOST.EXE.Muestra EliTriIP v7.40
a "virus@satinfo.es ". Gracias.
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MICROSOFT\CONHOST.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\DWM.EXE.Muestra EliTriIP v7.40
a "virus@satinfo.es ". Gracias.
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "conhost"="C:\Documents and Settings\user\Datos de programa\Microsoft\conhost.exe"
No detectado SP3 de Windows XP
Reinicie para Completar la Limpieza.
(28-4-2011 19:39:01 (GMT))
EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)
---------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 6982
Nº Total de Ficheros: 68432
Nº de Ficheros Analizados: 20081
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Deciros que ahora también me aparece un mensaje de error de conhost.exe.
Un saludo
Gracias
(28-4-2011 18:57:49 (GMT))
EliStartPage v23.12 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2011)
--------------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\Config\Systemprofile\\Configuración local\Datos de programa\Windows Internet Name Service\WINS.EXE.VIR --> Eliminado.
Eliminado Servicio, "Windows Internet Name Service"
Detectado Proxy Activo: http=127.0.0.1:49152
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(28-4-2011 19:06:06 (GMT))
EliStartPage v23.12 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2011)
--------------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Documents and Settings\user\Escritorio\virus\SVCHOST.EXE.VIR --> Eliminado, Trojan.Buzy
C:\Documents and Settings\user\Escritorio\virus\WINS.EXE.VIR --> Eliminado, Trojan.Muwid
C:\IBMTOOLS\drivers\HOTKEY\OSD\COMMON\TPHKLOCK.DLL --> Eliminado, Spy-Agent.KJ
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP205\A0037870.DLL --> Eliminado, MyWebSearch
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0038008.DLL --> Eliminado, Spy-Agent.KJ
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0040061.EXE --> Eliminado, Trojan.Buzy
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0040062.EXE --> Eliminado, Trojan.Muwid
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0041107.DLL --> Eliminado, Spy-Agent.KJ
C:\WINDOWS\system32\TPHKLOCK.DLL.VIR --> Eliminado, Spy-Agent.KJ
C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Application Policy Service\SVCHOST.EXE.VIR --> Eliminado, Trojan.Buzy
Nº Total de Directorios: 6964
Nº Total de Ficheros: 68191
Nº de Ficheros Analizados: 23702
Nº de Ficheros Infectados: 10
Nº de Ficheros Limpiados: 10
(28-4-2011 19:22:59 (GMT))
EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)
---------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\CSRSS.EXE.Muestra EliTriIP v7.40
a "
C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\TEMP\\CSRSS.EXE --> Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\CONHOST.EXE.Muestra EliTriIP v7.40
a "
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MICROSOFT\CONHOST.EXE --> Eliminado
C:\Documents and Settings\user\Datos de programa\DWM.EXE.VIR --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\DWM.EXE.Muestra EliTriIP v7.40
a "
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "conhost"="C:\Documents and Settings\user\Datos de programa\Microsoft\conhost.exe"
No detectado SP3 de Windows XP
Reinicie para Completar la Limpieza.
(28-4-2011 19:28:02 (GMT))
EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)
---------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Documents and Settings\user\Escritorio\virus\dwm.exe.vir --> Eliminado, BackDoor.CycBot
C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0040060.exe --> Eliminado, BackDoor.CycBot
Nº Total de Directorios: 6982
Nº Total de Ficheros: 68416
Nº de Ficheros Analizados: 20076
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
(28-4-2011 19:31:48 (GMT))
EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)
---------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Acción Directa):
C:\Documents and Settings\user\Configuración local\Temp\\CSRSS.EXE.VIR --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\CSRSS.EXE.Muestra EliTriIP v7.40
a "
C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\TEMP\\CSRSS.EXE --> Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\CONHOST.EXE.Muestra EliTriIP v7.40
a "
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MICROSOFT\CONHOST.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\DWM.EXE.Muestra EliTriIP v7.40
a "
C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "conhost"="C:\Documents and Settings\user\Datos de programa\Microsoft\conhost.exe"
No detectado SP3 de Windows XP
Reinicie para Completar la Limpieza.
(28-4-2011 19:39:01 (GMT))
EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)
---------------------------------------------
Usuario: user
Sesión de Usuario: user
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 6982
Nº Total de Ficheros: 68432
Nº de Ficheros Analizados: 20081
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Posible spyware
Pues el WINS.EXE ya ha pasado a la historia:
C:\WINDOWS\SYSTEM32\Config\Systemprofile\\Configuración local\Datos de programa\Windows Internet Name Service\WINS.EXE.VIR --> Eliminado.
Pero se han regenerado estos con otras variantes, envianoslos para analizar como se te pide:
Por favor, envienos una muestra del fichero
C:\Muestras\CSRSS.EXE.Muestra EliTriIP v7.40
Por favor, envienos una muestra del fichero
C:\Muestras\CONHOST.EXE.Muestra EliTriIP v7.40
Por favor, envienos una muestra del fichero
C:\Muestras\DWM.EXE.Muestra EliTriIP v7.40
y ademas vemos:
Detectado Proxy Activo: http=127.0.0.1:49152
No detectado SP3 de Windows XP
lo del proxy activo, si no es voluntario, debe haber sido implementado por uno de ellos, asi que en tal caso, busque la clave R1 que lo lanza con el SPROCES -> SCAN, marquela y eliminela
y lo de la falta de parches, es importante que lance un windowsupdate e instale automaticamente los que encuentre a faltar (mediante instalacion rapida)
A la recepcion de las muestras indicadas, las analizaremos e implementaremos su control y eliminacion en las siguiente versiones de nuestras utilidades, de lo cual informaremos.
saludos
ms, 29-4-2011
C:\WINDOWS\SYSTEM32\Config\Systemprofile\\Configuración local\Datos de programa\Windows Internet Name Service\WINS.EXE.VIR --> Eliminado.
Pero se han regenerado estos con otras variantes, envianoslos para analizar como se te pide:
Por favor, envienos una muestra del fichero
C:\Muestras\CSRSS.EXE.Muestra EliTriIP v7.40
Por favor, envienos una muestra del fichero
C:\Muestras\CONHOST.EXE.Muestra EliTriIP v7.40
Por favor, envienos una muestra del fichero
C:\Muestras\DWM.EXE.Muestra EliTriIP v7.40
y ademas vemos:
Detectado Proxy Activo: http=127.0.0.1:49152
No detectado SP3 de Windows XP
lo del proxy activo, si no es voluntario, debe haber sido implementado por uno de ellos, asi que en tal caso, busque la clave R1 que lo lanza con el SPROCES -> SCAN, marquela y eliminela
y lo de la falta de parches, es importante que lance un windowsupdate e instale automaticamente los que encuentre a faltar (mediante instalacion rapida)
A la recepcion de las muestras indicadas, las analizaremos e implementaremos su control y eliminacion en las siguiente versiones de nuestras utilidades, de lo cual informaremos.
saludos
ms, 29-4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Posible spyware
Hola,
Ya os he enviado las muestras que me solicitais y he realizado las actualizaciones que me recomendásteis (instalar internet explorer 8 y el parche sp3)
Gracias
Ya os he enviado las muestras que me solicitais y he realizado las actualizaciones que me recomendásteis (instalar internet explorer 8 y el parche sp3)
Gracias
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Posible spyware
El DWM.EXE es una variante de CYCBOT que ya controlamos con la actual version 7.41 del ELITRIIP, y los otros dos, el SVCHOST.EXE es una variante de BUZY y el el WINS.EXE es una variante del MUWID, ambos controlados por la actual version 23.13 del ELISTARA
Hoy envias nuevas muestras, las tres son CYCBOT que pasamos a controlar a partir del ELITRIIP de hoy, 7.42
que estará disponible a partir de las 19 h CEST
Descargate las nuevas versiones y pruebalas.
Tras ello reinicia, mira si se ha solucionado y posteanos el contenido de c:\infosat.txt, gracias
saludos
ms, 2-5-2011
NOTA: Y como que los tres de hoy (CYCBOT) afectan al proxy, no prodrá navegar hasta que corrija lo indicado en:
ms.
Hoy envias nuevas muestras, las tres son CYCBOT que pasamos a controlar a partir del ELITRIIP de hoy, 7.42
que estará disponible a partir de las 19 h CEST
Descargate las nuevas versiones y pruebalas.
Tras ello reinicia, mira si se ha solucionado y posteanos el contenido de c:\infosat.txt, gracias
saludos
ms, 2-5-2011
NOTA: Y como que los tres de hoy (CYCBOT) afectan al proxy, no prodrá navegar hasta que corrija lo indicado en:
[quote="msc"]"[u][i]lo del proxy activo, si no es voluntario, debe haber sido implementado por uno de ellos, asi que en tal caso, busque la clave R1 que lo lanza con el SPROCES -> SCAN, marquela y eliminela[/i] [/u] "[/quote]
ms.
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online