Posible spyware

Responder
Javi
Mensajes: 65
Registrado: 19 Abr 2004, 04:46

Posible spyware

Mensaje por Javi » 24 Abr 2011, 23:36

Hola!



Necesito vuestra ayuda ya que creo que tengo algún troyano o similar.



Las búsquedas en google no me funcionan, internet me va muy lento y cada vez que desde google quiero enlazar a alguna página, me redirige a un página no deseada.



He pasado (en modo a prueba a de fallos) tanto un antivirus como un antispyware, pero el problema persiste.



Agradecería que me asesorárais sobre los pasos a seguir para poder solucionar el problema.



Muchas gracias

Un saludo

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Posible spyware

Mensaje por lucl » 25 Abr 2011, 09:03

Hola, descargate esta herramienta que te indico y peganos el log que te dejara en C Infosat.txt, saludos





http://www.zonavirus.com/descargas/descargar-elistara.asp

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Posible spyware

Mensaje por msc hotline sat » 25 Abr 2011, 11:00

Y aparte de lo correctamente indicado pr lucl, si tras reiniciar no hubiera sido suficiente (cada dia hay nuevos malwares que tenemos que ir controlando) , ademas del infosat.txt, posteanos el contenido de c:\sproclog.txt que te generará el SPROCES tras probarlo y pulsar en SALIR:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 25-4-2011

Javi
Mensajes: 65
Registrado: 19 Abr 2004, 04:46

Re: Posible spyware

Mensaje por Javi » 25 Abr 2011, 21:55

Hola, lo primero de todo muchas gracias.



Desconozco el motivo pero no se me ha generado el fichero infosat.txt.



Sólo os puedo aportar el fichero que ha generado el sproces. Aquí va:



(25-4-2011 19:49:46 GMT)

SProces v5.3 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: MORENO

Nombre Usuario: user



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MICROSOFT\CONHOST.EXE

C:\DOCUME~1\USER\CONFIG~1\TEMP\CSRSS.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\USER\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:51414 (1)

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)

F2 - REG:system.ini: Shell=explorer.exe,C:\Documents and Settings\user\Datos de programa\dwm.exe (HKCU)

F3 - REG:win.ini: load=C:\DOCUME~1\user\CONFIG~1\Temp\csrss.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Archivos de programa\facemoods.com\facemoods\1.4.17.5\bh\facemoods.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Archivos de programa\OfferBox\OfferBoxBHO.dll

O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Archivos de programa\facemoods.com\facemoods\1.4.17.5\facemoodsTlbr.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Archivos de programa\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [TpShocks] TpShocks.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [ControlCenter] "C:\Archivos de programa\IBM fingerprint software\ctlcntr.exe" /startup

O4 - HKLM\..\Run: [EZEJMNAP] C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\\ibmmessages.exe

O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe

O4 - HKLM\..\Run: [QCTRAY] C:\Archivos de programa\ThinkPad\ConnectUtilities\QCTRAY.EXE

O4 - HKLM\..\Run: [QCWLICON] C:\Archivos de programa\ThinkPad\ConnectUtilities\QCWLICON.EXE

O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor

O4 - HKLM\..\Run: [BLOG] rundll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [facemoods] "C:\Archivos de programa\facemoods.com\facemoods\1.4.17.5\facemoodssrv.exe" /md I

O4 - HKLM\..\Run: [RegistrarUsrDNIeCertStoreDLL] "C:\Archivos de programa\DNIe\udcs.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\user\Datos de programa\Microsoft\conhost.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - Startup: Dropbox.lnk = C:\Documents and Settings\user\Datos de programa\Dropbox\bin\Dropbox.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = C:\Archivos de programa\ThinkPad\Bluetooth Software\BTTray.exe

O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Actualizar el software del ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Archivos de programa\Lenovo\PkgMgr\\PkgMgr.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [JAVA_IBM] Java (IBM)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www2.agenciatributaria.gob.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} (Java Plug-in 1.4.2) - http://java.sun.com/products/plugin/1.4.2/jinstall-142-win.cab

O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O20 - Winlogon Notify: PSFUS - C:\ARCHIVOS DE PROGRAMA\IBM FINGERPRINT SOFTWARE\PSFUS.DLL

O20 - Winlogon Notify: QCONGINA - QCONGINA.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\HSF_CNXT.sys (de 685184 bytes) () Conexant Systems, Inc.

WinSys\Drivers\ialmnt5.sys (de 827996 bytes) () Intel Corporation

WinSys\Drivers\mrxsmb.sys (de 454016 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574592 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.1.6.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: Application Policy Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Application Policy Service\svchost.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Archivos de programa\ThinkPad\Bluetooth Software\bin\btwdins.exe

O23 - Service: drvnddm - Sonic Solutions - C:\WINDOWS\SYSTEM32\drivers\drvnddm.sys

O23 - Service: IBM Access Support (EGATHDRV) - IBM Corporation - C:\WINDOWS\SYSTEM32\EGATHDRV.SYS

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

O23 - Service: ibmfilter - IBM - C:\WINDOWS\system32\drivers\ibmfilter.sys

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\SYSTEM32\QCONSVC.EXE

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: WLAN Transport (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys

O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSI323.tmp

O23 - Service: SMI helper driver (SmiHlp) - UPEK Inc. - C:\Archivos de programa\IBM fingerprint software\smihlp.sys

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: tfsnboio - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnboio.sys

O23 - Service: tfsncofs - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsncofs.sys

O23 - Service: tfsndrct - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsndrct.sys

O23 - Service: tfsndres - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsndres.sys

O23 - Service: tfsnifs - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnifs.sys

O23 - Service: tfsnopio - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnopio.sys

O23 - Service: tfsnpool - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnpool.sys

O23 - Service: tfsnudf - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnudf.sys

O23 - Service: tfsnudfa - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnudfa.sys

O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\SYSTEM32\TPHDEXLG.EXE

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Archivos de programa\Archivos comunes\Virtual Token\vtserver.exe

O23 - Service: Windows Internet Name Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Servicio de instalación del controlador de audio (WDM) de Intel(r) 82801 (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Broadcom NetXtreme Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys

O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys

O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

O23 - Service: CmdIde - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador del adaptador Intel(R) PRO (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: HSFHWICH - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWICH.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: IBMPMDRV - IBM Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\ibmpmdrv.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Controladora de dispositivo de infrarrojos NSC (NSCIRDA) - National Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nscirda.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PCDRNDISUIO Usermode I/O Protocol (PcdrNdisuio) - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\pcdrndisuio.sys

O23 - Service: IBM PSA Access Driver (psadd) - IBM Corporation - C:\WINDOWS\system32\Drivers\psadd.sys

O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: QCNDISIF - IBM Corporation. - C:\WINDOWS\SYSTEM32\drivers\qcndisif.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

O23 - Service: TC USB Kernel Driver (TcUsb) - UPEK Inc. - C:\WINDOWS\SYSTEM32\Drivers\tcusb.sys

O23 - Service: TPInput - IBM Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\TPInput.sys

O23 - Service: NSC Integrated Trusted Platform Module 1.1 (TPM11) - National Semiconductor Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\nsctpm11.sys

O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2915ABG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: AliIde - Acer Laboratories Inc. - C:\WINDOWS\system32\DRIVERS\aliide.sys

O23 - Service: Controlador de filtro de bus AMD AGP (amdagp) - Advanced Micro Devices, Inc. - C:\WINDOWS\system32\DRIVERS\amdagp.sys

O23 - Service: asc - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc.sys

O23 - Service: asc3550 - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc3550.sys

O23 - Service: dac2w2k - Mylex Corporation - C:\WINDOWS\system32\DRIVERS\dac2w2k.sys

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)

O23 - Service: mraid35x - American Megatrends Inc. - C:\WINDOWS\system32\DRIVERS\mraid35x.sys

O23 - Service: ql1080 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1080.sys

O23 - Service: ql12160 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql12160.sys

O23 - Service: ql1280 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1280.sys

O23 - Service: Filtro de bus SIS AGP (sisagp) - Silicon Integrated Systems Corporation - C:\WINDOWS\system32\DRIVERS\sisagp.sys

O23 - Service: Sparrow - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\sparrow.sys

O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\system32\DRIVERS\symc810.sys

O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\system32\DRIVERS\symc8xx.sys

O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_hi.sys

O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_u3.sys

O23 - Service: ultra - Promise Technology, Inc. - C:\WINDOWS\system32\DRIVERS\ultra.sys



83 Servicios.

33 de Carga Automatica.

32 de Carga Manual.

18 Deshabilitados.



Un saludo,

Gracias,

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Posible spyware

Mensaje por msc hotline sat » 26 Abr 2011, 07:33

pUES DE ENTRADA VEMOS QUE LE FALTAN MUCHOS PARCHES:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



Internet Explorer: (v6.0.2900.2180) ;SP2;



Lance un windowsupdate, y que instale los parches pendientes, SP3 y demás, aparte del IE8, ya que Microsoft ya enterró el IE6 !



Luego elimine esta clave:



R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)



Para ello, lance el SPROCES; pulse en SCAN, marque dicha clave y seleccione ELIMINAR.





Aparte, añada .VIR a la extension de estos ficheros:



C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE



C:\DOCUME~1\USER\CONFIG~1\TEMP\CSRSS.EXE



C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Application Policy Service\svchost.exe



C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe





y envienoslos para analizar:







>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 26-4-2011

Javi
Mensajes: 65
Registrado: 19 Abr 2004, 04:46

Re: Posible spyware

Mensaje por Javi » 26 Abr 2011, 23:47

Ya he eliminado la entrada R3....



También os he enviado los archivos que me habéis indicado, salvo el C:\DOCUME~1\USER\CONFIG~1\TEMP\CSRSS.EXE ya que no lo encuentro.



Me queda realizar las actualizaciones de windows y descargar la versión 8 de internet explorer.



Un saludo.

Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Posible spyware

Mensaje por msc hotline sat » 27 Abr 2011, 07:35

En un par de horas, cuanto entremos al trabajo en SATINFO, esperamos encontrar los ficheros que dices haber enviado y tras analizarlos informaremos



El que dices que no has encontrado era un temporal, y puede que ya no lo tengas. Pero con los otros se supone que será suficiente :)



Hasta pronto.



saludos



ms, 27-4-2011

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Posible spyware

Mensaje por msc hotline sat » 27 Abr 2011, 10:04

Efectivamente, recibidos los ficheros que nos has enviado, ya en el primero detectamos una variante del Backdoor CYCBOT, que pasaremos a controlar a partir del ELITRIIP de hoy, de lo cual informaremos



Los demas seran igualmente analizados y controlados quizas por el ELISTARA, segun veamos lo que son.



Cuando tengamos mas informacion se comunicará.



saludos



ms,27.4.2011

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Posible spyware

Mensaje por msc hotline sat » 27 Abr 2011, 13:26

Monitorizados los ficheros enviados, han resultado ser variantes de tres troyanos conocidos.



Tal como ya indicamos, el DWM es una variante del Backdoor CYCBOT que pasamos a controlar a partir del ELITRIIP de hoy 7.40





Y los otros dos, el SVCHOST es una variante del Trojan BUZY y el WINS lo es del Trojan MUWYD, que pasan a ser controlados a partir del ELISTARA 23.11





A partir de las 19 horas CEST de hoy, estarán disponibles en nuestra web



saludos



ms, 27--4-2011

Javi
Mensajes: 65
Registrado: 19 Abr 2004, 04:46

Re: Posible spyware

Mensaje por Javi » 27 Abr 2011, 20:53

Gracias!!



Están ya disponibles? Podríais confirmarme cómo tengo que hacer? Supongo que me tengo que descargar los dos programas a los que hacéis referencia.



Un saludo,

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Posible spyware

Mensaje por msc hotline sat » 28 Abr 2011, 07:40

Si, claro:



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



tras probar los dos, posteanos con un copiar del contenido de c:\infosat.txt, el informe resultante



saludos



ms, 28-4-2011

Javi
Mensajes: 65
Registrado: 19 Abr 2004, 04:46

Re: Posible spyware

Mensaje por Javi » 28 Abr 2011, 22:18

Hola, os mando el contenido del fichero infosat.txt.



Deciros que ahora también me aparece un mensaje de error de conhost.exe.



Un saludo

Gracias



(28-4-2011 18:57:49 (GMT))

EliStartPage v23.12 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2011)

--------------------------------------------------

Usuario: user

Sesión de Usuario: user

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\Config\Systemprofile\\Configuración local\Datos de programa\Windows Internet Name Service\WINS.EXE.VIR --> Eliminado.

Eliminado Servicio, "Windows Internet Name Service"

Detectado Proxy Activo: http=127.0.0.1:49152

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-4-2011 19:06:06 (GMT))

EliStartPage v23.12 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2011)

--------------------------------------------------

Usuario: user

Sesión de Usuario: user

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\user\Escritorio\virus\SVCHOST.EXE.VIR --> Eliminado, Trojan.Buzy

C:\Documents and Settings\user\Escritorio\virus\WINS.EXE.VIR --> Eliminado, Trojan.Muwid

C:\IBMTOOLS\drivers\HOTKEY\OSD\COMMON\TPHKLOCK.DLL --> Eliminado, Spy-Agent.KJ

C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP205\A0037870.DLL --> Eliminado, MyWebSearch

C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0038008.DLL --> Eliminado, Spy-Agent.KJ

C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0040061.EXE --> Eliminado, Trojan.Buzy

C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0040062.EXE --> Eliminado, Trojan.Muwid

C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0041107.DLL --> Eliminado, Spy-Agent.KJ

C:\WINDOWS\system32\TPHKLOCK.DLL.VIR --> Eliminado, Spy-Agent.KJ

C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Application Policy Service\SVCHOST.EXE.VIR --> Eliminado, Trojan.Buzy



Nº Total de Directorios: 6964

Nº Total de Ficheros: 68191

Nº de Ficheros Analizados: 23702

Nº de Ficheros Infectados: 10

Nº de Ficheros Limpiados: 10



(28-4-2011 19:22:59 (GMT))

EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)

---------------------------------------------

Usuario: user

Sesión de Usuario: user

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\CSRSS.EXE.Muestra EliTriIP v7.40

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\TEMP\\CSRSS.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\CONHOST.EXE.Muestra EliTriIP v7.40

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MICROSOFT\CONHOST.EXE --> Eliminado

C:\Documents and Settings\user\Datos de programa\DWM.EXE.VIR --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DWM.EXE.Muestra EliTriIP v7.40

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "conhost"="C:\Documents and Settings\user\Datos de programa\Microsoft\conhost.exe"

No detectado SP3 de Windows XP

Reinicie para Completar la Limpieza.



(28-4-2011 19:28:02 (GMT))

EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)

---------------------------------------------

Usuario: user

Sesión de Usuario: user

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\user\Escritorio\virus\dwm.exe.vir --> Eliminado, BackDoor.CycBot

C:\System Volume Information\_restore{AFCFD19E-9387-486B-B7FC-96272D65B261}\RP206\A0040060.exe --> Eliminado, BackDoor.CycBot



Nº Total de Directorios: 6982

Nº Total de Ficheros: 68416

Nº de Ficheros Analizados: 20076

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(28-4-2011 19:31:48 (GMT))

EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)

---------------------------------------------

Usuario: user

Sesión de Usuario: user

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\user\Configuración local\Temp\\CSRSS.EXE.VIR --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CSRSS.EXE.Muestra EliTriIP v7.40

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\TEMP\\CSRSS.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\CONHOST.EXE.Muestra EliTriIP v7.40

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MICROSOFT\CONHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DWM.EXE.Muestra EliTriIP v7.40

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DWM.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "conhost"="C:\Documents and Settings\user\Datos de programa\Microsoft\conhost.exe"

No detectado SP3 de Windows XP

Reinicie para Completar la Limpieza.



(28-4-2011 19:39:01 (GMT))

EliTriIP v7.40 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2011)

---------------------------------------------

Usuario: user

Sesión de Usuario: user

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6982

Nº Total de Ficheros: 68432

Nº de Ficheros Analizados: 20081

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Posible spyware

Mensaje por msc hotline sat » 29 Abr 2011, 06:59

Pues el WINS.EXE ya ha pasado a la historia:



C:\WINDOWS\SYSTEM32\Config\Systemprofile\\Configuración local\Datos de programa\Windows Internet Name Service\WINS.EXE.VIR --> Eliminado.





Pero se han regenerado estos con otras variantes, envianoslos para analizar como se te pide:



Por favor, envienos una muestra del fichero

C:\Muestras\CSRSS.EXE.Muestra EliTriIP v7.40



Por favor, envienos una muestra del fichero

C:\Muestras\CONHOST.EXE.Muestra EliTriIP v7.40



Por favor, envienos una muestra del fichero

C:\Muestras\DWM.EXE.Muestra EliTriIP v7.40





y ademas vemos:



Detectado Proxy Activo: http=127.0.0.1:49152

No detectado SP3 de Windows XP





lo del proxy activo, si no es voluntario, debe haber sido implementado por uno de ellos, asi que en tal caso, busque la clave R1 que lo lanza con el SPROCES -> SCAN, marquela y eliminela





y lo de la falta de parches, es importante que lance un windowsupdate e instale automaticamente los que encuentre a faltar (mediante instalacion rapida)



A la recepcion de las muestras indicadas, las analizaremos e implementaremos su control y eliminacion en las siguiente versiones de nuestras utilidades, de lo cual informaremos.



saludos



ms, 29-4-2011

Javi
Mensajes: 65
Registrado: 19 Abr 2004, 04:46

Re: Posible spyware

Mensaje por Javi » 02 May 2011, 15:09

Hola,



Ya os he enviado las muestras que me solicitais y he realizado las actualizaciones que me recomendásteis (instalar internet explorer 8 y el parche sp3)



Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Posible spyware

Mensaje por msc hotline sat » 02 May 2011, 16:26

El DWM.EXE es una variante de CYCBOT que ya controlamos con la actual version 7.41 del ELITRIIP, y los otros dos, el SVCHOST.EXE es una variante de BUZY y el el WINS.EXE es una variante del MUWID, ambos controlados por la actual version 23.13 del ELISTARA



Hoy envias nuevas muestras, las tres son CYCBOT que pasamos a controlar a partir del ELITRIIP de hoy, 7.42

que estará disponible a partir de las 19 h CEST



Descargate las nuevas versiones y pruebalas.



Tras ello reinicia, mira si se ha solucionado y posteanos el contenido de c:\infosat.txt, gracias



saludos



ms, 2-5-2011





NOTA: Y como que los tres de hoy (CYCBOT) afectan al proxy, no prodrá navegar hasta que corrija lo indicado en:


[quote="msc"]"[u][i]lo del proxy activo, si no es voluntario, debe haber sido implementado por uno de ellos, asi que en tal caso, busque la clave R1 que lo lanza con el SPROCES -> SCAN, marquela y eliminela[/i][/u]"[/quote]

ms.

Responder

Volver a “Foro Spyware”