troyano en pc (SOLUCIONADO)

Cerrado
rigel2024
Mensajes: 83
Registrado: 07 Oct 2010, 19:15

troyano en pc (SOLUCIONADO)

Mensaje por rigel2024 » 28 Ago 2011, 08:12

hola amigos como estan hoy mi pc me dio alerta de virus y he corrido el elistara y el sproces ademas adjunto texto y envio muestra , espero instrucciones



(28-8-2011 06:51:57 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Equipo: rigel2024

Usuario: Rodolfo

Sesión de Usuario: Rodolfo



38 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\SCHED.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVSHADOW.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVGNT.EXE

C:\WINDOWS\ZSSNP211.EXE

C:\WINDOWS\DOMINO.EXE

C:\WINDOWS\HFFEXT\HFFSRV.EXE

C:\ARCHIVOS DE PROGRAMA\TASKSWITCHXP\TASKSWITCHXP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\HARDCOPY\HARDCOPY.EXE

C:\ARCHIVOS DE PROGRAMA\BANDA ANCHA MOVIL\BANDA ANCHA MOVIL.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGERDISCOVERY 2\MESSENGERDISCOVERY 2.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\ELISTARA.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-1123561945-1614895754-1177238915-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')

R0 - HKUS\S-1-5-21-1123561945-1614895754-1177238915-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador')

R3 - URLSearchHook: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Archivos de programa\BS_Player\prxtbBS_0.dll

R3 - URLSearchHook: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Archivos de programa\BS_Player\prxtbBS_0.dll (User 'Administrador')

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Archivos de programa\AutocompletePro\AutocompletePro.dll (file missing)

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: proTek browser enhancer - {EF6657F7-20C2-49EF-844D-9093625CFD2C} - C:\WINDOWS\$NT0234Uninstall$\xprt.dll (file missing)

O2 - BHO: BS Player - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Archivos de programa\BS_Player\prxtbBS_0.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Archivos de programa\BS_Player\prxtbBS_0.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [879r07mh9g] C:\Documents and Settings\Administrador\879r07mh9g.exe

O4 - HKUS\S-1-5-21-1123561945-1614895754-1177238915-500\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe (User 'Administrador')

O4 - HKUS\S-1-5-21-1123561945-1614895754-1177238915-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')

O4 - HKUS\S-1-5-21-1123561945-1614895754-1177238915-500\..\Run: [879r07mh9g] C:\Documents and Settings\Administrador\879r07mh9g.exe (User 'Administrador')

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe

O4 - HKLM\..\Run: [HFFSRV] c:\windows\hffext\hffsrv.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - Startup: Hardcopy.LNK = C:\Archivos de programa\Hardcopy\hardcopy.exe

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE /tsr

O4 - User Startup: Hardcopy.LNK = C:\Archivos de programa\Hardcopy\hardcopy.exe (User 'Administrador')

O4 - User Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE /tsr (User 'Administrador')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000 (User 'Administrador')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1287328776515

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8F61500B-44DF-4CFD-80F1-7CF5C37CE3E8}: NameServer = 200.63.56.3 200.63.56.4

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL



Información Adicional:

----------------------

WinSys\Drivers\CHDAud.sys (de 625664 bytes) () Conexant Systems Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\HSF_CNXT.sys (de 731520 bytes) () Conexant Systems, Inc.

WinSys\Drivers\HSF_DPV.sys (de 989696 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mod7700.sys (de 872192 bytes) () DiBcom SA

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 717296 bytes) ()

WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Aspi32 - Adaptec - C:\WINDOWS\SYSTEM32\drivers\aspi32.sys

O23 - Service: avgntflt - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avgntflt.sys

O23 - Service: Servicio HP CUE DeviceDiscovery (hpqddsvc) - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Archivos de programa\HP\Digital Imaging\bin\hpqddsvc.dll

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZinw12.dll

O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZipm12.dll

O23 - Service: TuneUp Ampliación del thema (UxTuneUp) - TuneUp Software GmbH - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\uxtuneup.dll



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys

O23 - Service: A4Tech HID-compliant Mouse Driver (Amusbprt) - A4Tech Co.,Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Amusbprt.sys

O23 - Service: AnyDVD - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\AnyDVD.sys

O23 - Service: Controlador del adaptador de red Broadcom 802.11 (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys

O23 - Service: USB 2861 Video (DCamUSBEMPIA) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emDevice.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: eabfiltr - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\eabfiltr.sys

O23 - Service: eabusb - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\eabusb.sys

O23 - Service: USB Device Lower Filter (FiltUSBEMPIA) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emFilter.sys

O23 - Service: HBtnKey - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\cpqbttn.sys

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\CHDAud.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: hpqcxs08 - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Archivos de programa\HP\Digital Imaging\bin\hpqcxs08.dll

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWAZL.sys

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DPV.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Nokia USB Phone Parent Driver (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Communication Driver (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: USB Still Image Capture Device (ScanUSBEMPIA) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emScan.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\Nokia\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SRS Labs Audio Sandbox (WDM) (SRS_SSCFilter) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\srs_sscfilter_i386.sys

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

O23 - Service: ZSMC USB PC Camera (ZS0211) (ZSMC211) - ZSMC.Corporation - C:\WINDOWS\SYSTEM32\Drivers\ZS211.sys

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys (file missing)

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys (file missing)

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)



52 Servicios.

9 de Carga Automatica.

41 de Carga Manual.

2 Deshabilitados.





_____________________________________________________________



(28-8-2011 06:20:56 (GMT))

EliPalevo v2.59 (c)2011 S.G.H. / Satinfo S.L. (Modificado el 23 de Agosto del 2011)

---------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1123561945-1614895754-1177238915-500



Lista de Acciones (por Acción Directa):



(28-8-2011 06:23:12 (GMT))

EliStartPage v23.74 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Agosto del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1123561945-1614895754-1177238915-500



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\OB01605LMIIM01605.EXE.Muestra EliStartPage v23.74

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\OB01605LMIIM01605\OB01605LMIIM01605.EXE --> Eliminado

Entrada Eliminada [HKUS\S-1-5-21-1123561945-1614895754-1177238915-500\...\RunOnce] "OB01605LMIIM01605"="C:\Documents and Settings\All Users\Datos de programa\oB01605LmIiM01605\oB01605LmIiM01605.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-8-2011 06:26:05 (GMT))

EliPalevo v2.59 (c)2011 S.G.H. / Satinfo S.L. (Modificado el 23 de Agosto del 2011)

---------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1123561945-1614895754-1177238915-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7819

Nº Total de Ficheros: 117257

Nº de Ficheros Analizados: 2625

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-8-2011 06:29:31 (GMT))

EliStartPage v23.74 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Agosto del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1123561945-1614895754-1177238915-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7820

Nº Total de Ficheros: 117256

Nº de Ficheros Analizados: 18345

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-8-2011 06:51:24 (GMT))

EliStartPage v23.74 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Agosto del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1123561945-1614895754-1177238915-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-8-2011 07:04:28 (GMT))

EliStartPage v23.74 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Agosto del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1123561945-1614895754-1177238915-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7824

Nº Total de Ficheros: 117281

Nº de Ficheros Analizados: 18359

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: troyano en pc

Mensaje por lucl » 28 Ago 2011, 10:05

Pues el lunes te analizaran la muestra que has enviado y te diran algo al respecto. En cuanto al log de sproces espera que te diga Msc si hay algo que debas quitar o no. Saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: troyano en pc

Mensaje por msc hotline sat » 28 Ago 2011, 10:44

Y de momento, a partir del próximo reinicio, ya no se cargará el fichero de marras OB01605LMIIM01605.EXE, al haber sido movido a C:\Muestras\OB01605LMIIM01605.EXE.Muestra EliStartPage v23.74 , además de haberse eliminado su clave de carga.







y en el log vemos este otro fichero que tambien es sospechoso



C:\Documents and Settings\Administrador\879r07mh9g.exe



que se lanza en esta clave:



O4 - HKUS\S-1-5-21-1123561945-1614895754-1177238915-500\..\Run: [879r07mh9g] C:\Documents and Settings\Administrador\879r07mh9g.exe (User 'Administrador')



y segun http://www.incodesolutions.com/threats4/ProfileFolder879r07mh9gexe.php, es malicioso.



añada de momento .VIR a la extension de 879r07mh9g.exe y envienoslo tambien para analizar





En cuanto los recibamos, los analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 28-8-2011

rigel2024
Mensajes: 83
Registrado: 07 Oct 2010, 19:15

Re: troyano en pc

Mensaje por rigel2024 » 28 Ago 2011, 17:59

quiero informarles que no logro ver el fichero que mencionan C:\Documents and Settings\Administrador\879r07mh9g.exe

, he ejutado el cmd para quitarle las atribuciones a la carpeta con attrib -r -h -s -a y no lo muestra , agradeceria que me dijieran como hacerlo para localizar ese fichero



otra cosa cuando ejecuto el CCleaner me muestra un archivo que esta en C:\WINDOWS\MEMORY.DMP 119,5MB que me llama la atencion su tamaño que es de 119 MB no se si sera sospechoso o no.

espero instrucciones para loclizar el archivo mencionado anteriormente para ponerle la extencion .vir

gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: troyano en pc

Mensaje por msc hotline sat » 28 Ago 2011, 18:39

No aconsejamos el uso del CCleaner, igual por ello ha eliminado el fichero de marras, y ya no encuentra dicho fichero y no podremos analizarlo...



En cualquier caso, con el ELIMOVER busque



C:\Documents and Settings\Administrador\879r07mh9g.exe



y marque la casilla inferior para que le añada .VIR a su extension.






[quote="msc"]
ELIMOVER

http://www.zonavirus.com/descargas/descargar-elimover.asp





y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original,

ya que se trata de un malware
[/quote]




Y, si lo encuentra, envienos el fichero que movera a C:\muestras, y lo analizarmoe



saludos



ms, 28-8-2011

RCHSANT





NOTA:




[quote]
NOTA sobre el fichero memory.dmp



•Si su ordenador ya ha sufrido una caída del sistema grave (ejemplo: pantalla azul o mensaje “vaciado de la memoria física”) Windows genera un archivo llamado memory.dmp. El tamaño de este archivo es casi equivalente a la cantidad de memoria instalada en el PC. Una vez que se vuelva al funcionamiento normal, este archivo voluminoso puede ser eliminado sin ningún peligro:

•Vaya a Mi PC

•Haga clic en el disco C:\ (disco donde se encuentra su sistema operativo)

•Luego haga clic en la carpeta Windows C:\WINDOWS

•Elimine la carpeta memory.dmp



[url=http://es.kioskea.net/faq/214-windows-xp-mi-pc-tiene-problemas-que-hacer]Fuente[/url][/quote]

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: troyano en pc

Mensaje por msc hotline sat » 29 Ago 2011, 10:30

Recibida la muestra enviada, corresponde a una nueva variante de FAKE AV PERSONAL SHIELD PRO, que pasamos a controlar con el ELISTARA de hoy 23.75



http://www.zonavirus.com/noticias/2011/nueva-variante-de-fake-av-personal-shield-pro.asp



De momento si ha cambiado la extension del fichero por .VIR, como le indicabamos, a partir del proximo reinicio ya no incordiará, pero terminará la limpieza ejecutando dicho ELISTARA 23.75 que estará disponible a partir de las 19 h CEST de hoy



Cuando lo haya probado, confirmenos que el problema está solucionado, gracias



saludos



ms, 29-8-2011

rigel2024
Mensajes: 83
Registrado: 07 Oct 2010, 19:15

Re: troyano en pc

Mensaje por rigel2024 » 31 Ago 2011, 08:41

bueno amigo les informo que ya volvio todo a la normalidad elistara no me detecto nada ,salvo el archivo en la carpeta muestras que habia olvidado borrar, agradezco su ayudas y doy por cerrado el tema publico el infosat



(31-8-2011 06:14:22 (GMT))

EliStartPage v23.76 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 30 de Agosto del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1123561945-1614895754-1177238915-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(31-8-2011 06:33:37 (GMT))

EliStartPage v23.76 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 30 de Agosto del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1123561945-1614895754-1177238915-500



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\OB01605LMIIM01605.EXE.MUESTRA ELISTARTPAGE V23.74 --> Eliminado, FakeAV.PersonalShieldPro



Nº Total de Directorios: 7877

Nº Total de Ficheros: 117470

Nº de Ficheros Analizados: 18450

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: troyano en pc

Mensaje por msc hotline sat » 31 Ago 2011, 09:06

Pues de esto se trataba, que detefctara y eliminara la muestra que aparcamos anteriormente, y ya no encuentre nada mas :



C:\Muestras\OB01605LMIIM01605.EXE.MUESTRA ELISTARTPAGE V23.74 --> Eliminado, FakeAV.PersonalShieldPro



De todas formas, no se indica las claves que se restauran y/o eliminan, lo cual tambien ha hecho la ultima version del ELISTARA para con dicho FAKE AV.



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 31-8-2011

Cerrado

Volver a “Foro Spyware”