el spybot me detecta cambios en registros (SOLUCIONADO Y CERRADO)

Cerrado
impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

el spybot me detecta cambios en registros (SOLUCIONADO Y CERRADO)

Mensaje por impulsiu » 02 Feb 2012, 12:11

hola, 2 consultas de spybot



en un post cerrado del log hijack, eliminaba O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file) del sproces, luego reinicio y me han salido 7 u 8 veces que el spybot detectaba que se habian cambiado claves de registro de entrada...ya no se cuales son ni cuales decia pero le he dado a permitir los cambios , es correcto ?



a su vez cuando paso el spybot me detecta cosas que no me deja eliminar , que puedo hacer ?



gracias

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 02 Feb 2012, 16:46

Si, dé permiso a dichos cambios que le hemos indicado nosotros.



Y no usamos el Spybot, pero si Vd quiere hacer lo que le dicen, vea si las claves indicadas aparecen cn el SPROCES en su opcion SCAN, y si es asi, seleccionela y pulse en ELIMINAR (bajo su responsabilidad, claro)



Y no se lo aconsejamos, pero si quiere eliminar cualquier clave del registro, lanzando el REGEDIT se puede localizar y eliminar, pero mucho cuidado, ello es muy delicado y se puede quedar sin el windows y todo lo que tenga instalado ...



saludos



ms, 2-2-2012

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 03 Feb 2012, 00:20

no me dicen, solo decia que cuando paso el spybot me detecta espias ....o algo pero si no lo tocasi que me recomendais que haga para saber al 100 que no tengo espia, keylogger rootkit, ni ningun lector de contraseñas o que no puedan entrar o ya esten dentro de mi pc.



Repito que por error mio deje que un colega de internet me instalara el w7 y el office con el codigo de activacion a traves del teamviewr 7



que puedo hacer para asegurarlo?

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 03 Feb 2012, 07:08

Si quiere buscar malwares puede probar el ELISTARA y si no detecta nada, enviarnos el log que le genere el SPROCES, y lo analizaremos e informaremos:





Pues pruebe el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]




Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]


lo analizaremos e informaremos al respecto.



saludos



ms, 3-2-2012





NOTA: Y si piensa que puede tener RoorKits no detectables facilmente, pruebe el McAfee RootKit detective y posteenos el informe resultante:



[b]mcafee rootkit detective[/b]

http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 04 Feb 2012, 13:08

mientrasel avira me detecta al pasar automaticamente el av un viurs EXP/CVE-2011-3544



que es, lo ha movido a cuarentena



que tengo que hacer ?

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 04 Feb 2012, 13:21

Posteanos los informes que te pedimos y tras analizarlos te informaremos.



saludos



ms, 4-2-2012

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 04 Feb 2012, 14:07

pego los 2





(1-2-2012 12:56:22 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(1-2-2012 13:03:32 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 16493

Nº Total de Ficheros: 94650

Nº de Ficheros Analizados: 27543

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(1-2-2012 13:09:44 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(1-2-2012 13:09:56 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 369

Nº Total de Ficheros: 2641

Nº de Ficheros Analizados: 1265

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(1-2-2012 13:10:10 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 231

Nº Total de Ficheros: 2082

Nº de Ficheros Analizados: 275

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(1-2-2012 13:10:26 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 231

Nº Total de Ficheros: 2098

Nº de Ficheros Analizados: 287

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(1-2-2012 13:10:38 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 231

Nº Total de Ficheros: 2082

Nº de Ficheros Analizados: 275

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(1-2-2012 13:10:46 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 231

Nº Total de Ficheros: 2098

Nº de Ficheros Analizados: 287

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-2-2012 20:19:35 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-2-2012 20:22:32 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5160

Nº Total de Ficheros: 35106

Nº de Ficheros Analizados: 9127

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(4-2-2012 12:11:32 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(4-2-2012 12:18:22 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 16533

Nº Total de Ficheros: 91632

Nº de Ficheros Analizados: 26930

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-2-2012 12:24:15 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 16531

Nº Total de Ficheros: 91641

Nº de Ficheros Analizados: 26931

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-2-2012 12:26:49 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 231

Nº Total de Ficheros: 2106

Nº de Ficheros Analizados: 294

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-2-2012 12:40:07 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(4-2-2012 12:40:17 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 231

Nº Total de Ficheros: 2086

Nº de Ficheros Analizados: 280

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-2-2012 12:40:26 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 231

Nº Total de Ficheros: 2105

Nº de Ficheros Analizados: 294

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-2-2012 12:41:46 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(4-2-2012 12:48:31 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 16484

Nº Total de Ficheros: 91587

Nº de Ficheros Analizados: 26945

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-2-2012 12:49:44 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 231

Nº Total de Ficheros: 2086

Nº de Ficheros Analizados: 280

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-2-2012 12:49:55 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 231

Nº Total de Ficheros: 2105

Nº de Ficheros Analizados: 294

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-2-2012 12:51:42 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(4-2-2012 12:55:35 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 16534

Nº Total de Ficheros: 91751

Nº de Ficheros Analizados: 26945

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(4-2-2012 12:55:56 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: ferran

ID de Usuario: S-1-5-21-3867638821-3244478412-4173811886-1000



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 231

Nº Total de Ficheros: 2105

Nº de Ficheros Analizados: 294

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



---------------------------------------------------------------------------------------------------------





(4-2-2012 12:30:28 GMT)

SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows 7 Home Premium (v6.1)

Internet Explorer: (v9.0.8112.16421) 0

Equipo: SEVEN-PC

Usuario: ferran

Sesión de Usuario: ferran



48 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WININIT.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\LSM.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\PROGRAM FILES\AVIRA\ANTIVIR DESKTOP\SCHED.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\SUPERANTISPYWARE\SASCORE.EXE

C:\PROGRAM FILES\COMMON FILES\ADOBE\ARM\1.0\ARMSVC.EXE

C:\PROGRAM FILES\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\TASKHOST.EXE

C:\WINDOWS\SYSTEM32\DWM.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\PROGRAM FILES\AVIRA\ANTIVIR DESKTOP\AVGNT.EXE

C:\PROGRAM FILES\COMMON FILES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MSOSYNC.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\PROGRAM FILES\AVIRA\ANTIVIR DESKTOP\AVSHADOW.EXE

C:\WINDOWS\SYSTEM32\CONHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNETWK.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICESOFTWAREPROTECTIONPLATFORM\OSPPSVC.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SOURCE ENGINE\OSE.EXE

C:\WINDOWS\SYSTEM32\AUDIODG.EXE

C:\USERS\FERRAN\DESKTOP\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office14\GROOVEEX.DLL

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [OfficeSyncProcess] "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"

O4 - HKCU\..\Run: [Google Update] "C:\Users\ferran\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')

O8 - Extra context menu item: &Enviar a OneNote - res://C:\PROGRA~1\MICROS~4\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office14\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_30) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} (Java Plug-in 1.6.0_30) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_30) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~4\Office14\GROOVEEX.DLL



Información Adicional:

----------------------

WinSys\Drivers\adp94xx.sys (de 422976 bytes) () Adaptec, Inc.

WinSys\Drivers\ATSwpWDF.sys (de 625224 bytes) () AuthenTec, Inc.

WinSys\Drivers\bxvbdx.sys (de 430080 bytes) () Broadcom Corporation

WinSys\Drivers\dxgkrnl.sys (de 728448 bytes) () Microsoft Corporation

WinSys\Drivers\elxstor.sys (de 453712 bytes) () Emulex

WinSys\Drivers\http.sys (de 513536 bytes) () Microsoft Corporation

WinSys\Drivers\ndis.sys (de 712576 bytes) () Microsoft Corporation

WinSys\Drivers\PEAuth.sys (de 586752 bytes) () Microsoft Corporation

WinSys\Drivers\spsys.sys (de 405504 bytes) () Microsoft Corporation

WinSys\Drivers\VSTCNXT3.SYS (de 661504 bytes) () Conexant Systems, Inc.

WinSys\Drivers\VSTDPV3.SYS (de 980992 bytes) () Conexant Systems, Inc.

WinSys\Drivers\Wdf01000.sys (de 445008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Avira Programador (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: avgntflt - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avgntflt.sys

**O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

**O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - %SystemRoot%\System32\svchost.exe -k secsvcs - %ProgramFiles%\Windows Defender\mpsvc.dll (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adp94xx.sys

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpahci.sys

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\djsvs.sys

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

O23 - Service: amdsata - Advanced Micro Devices - C:\WINDOWS\system32\drivers\amdsata.sys

O23 - Service: amdsbs - AMD Technologies Inc. - C:\WINDOWS\system32\DRIVERS\amdsbs.sys

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arc.sys

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arcsas.sys

O23 - Service: AuthenTec TruePrint USB WBF WDF Driver (ATSwpWDF) - AuthenTec, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ATSwpWDF.sys

O23 - Service: Broadcom NetXtreme II VBD (b06bdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\bxvbdx.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet: NDIS 6.0 (b57nd60x) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60x.sys

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltLo.sys

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltUp.sys

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\Brserid.sys

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrSerWdm.sys

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbMdm.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbSer.sys

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

O23 - Service: Broadcom NetXtreme II 10 GigE VBD (ebdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\evbdx.sys

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\DRIVERS\elxstor.sys

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Hauppauge Consumer Infrared Receiver (hcw85cir) - Hauppauge Computer Works, Inc. - C:\WINDOWS\system32\drivers\hcw85cir.sys

O23 - Service: HpSAMD - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\HpSAMD.sys

O23 - Service: Controladora RAID de Intel para Windows 7 (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iaStorV.sys

O23 - Service: igfx - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd32.sys

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\DRIVERS\iirsp.sys

O23 - Service: LSI_FC - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_fc.sys

O23 - Service: LSI_SAS - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas.sys

O23 - Service: LSI_SAS2 - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas2.sys

O23 - Service: LSI_SCSI - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_scsi.sys

O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\DRIVERS\megasas.sys

O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\DRIVERS\MegaSR.sys

O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link 5000 Series para Windows Vista de 32 bits (netw5v32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\netw5v32.sys

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\DRIVERS\nfrd960.sys

O23 - Service: NSC Infrared Device Driver (NSCIRDA) - National Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nscirda.sys

O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

O23 - Service: ql2300 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql2300.sys

O23 - Service: ql40xx - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql40xx.sys

O23 - Service: Serial Port Driver (Serial) - Brother Industries Ltd. - C:\WINDOWS\system32\DRIVERS\serial.sys

O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\DRIVERS\sisraid4.sys

O23 - Service: SrvHsfHDA - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTAZL3.SYS

O23 - Service: SrvHsfV92 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTDPV3.SYS

O23 - Service: SrvHsfWinac - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTCNXT3.SYS

O23 - Service: stexstor - Promise Technology - C:\WINDOWS\system32\DRIVERS\stexstor.sys

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\DRIVERS\vsmraid.sys



Listado de Servicios (Deshabilitados):

--------------------------------------



59 Servicios.

9 de Carga Automatica.

50 de Carga Manual.

0 Deshabilitados.



---------------------------------------------------------------------------------------------------------------



el rottkit detective me dice esto





[img]http://img267.imageshack.us/img267/2892/sinttulotsz.png[/img]

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 04 Feb 2012, 20:42

Pues nada virico visible en los informes.



Y para RootKits, al ser Windows 7, lanza el GMER y guarda el informe, y si crees que puede haber un RootKit, posteanoslo con un copiar y pegar, como respuesta de este Tema, y tras analizarlo te informaremos del resultado del analisis.



saludos



ms, 4-2-2012

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 04 Feb 2012, 22:15

GMer lo he intentado pasar haciendo scan y por 2 veces se ha parado y me ha salido que windows buscaba una solucion, las 2 veces intento volverloa pasar y entonces me ha aparecido una pantalla azul...que no me entero que decia.



no se que pasa pero no puedo pasar el gmer version 1.015.15281

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 05 Feb 2012, 09:59

El GMER que tengo es el 1.0.15.15641:



http://www2.gmer.net/gmer.zip





mira si este te funciona, y sino, prueba estos otros:



http://www.mcafee.com/us/downloads/free-tools/rootkitremover.aspx



http://www2.gmer.net/catchme.htm



http://www2.gmer.net/mbr/mbr.exe



y cuentanos el resultado, gracias



saludos



ms, 5-2-2012

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 05 Feb 2012, 14:46

lo pego aqui, he puesto el Cy el D pero no se si los ha analizado todos



GMER 1.0.15.15641 - http://www.gmer.net

Rootkit scan 2012-02-05 14:36:42

Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 Hitachi_HTS542525K9SA00 rev.BBFOC31P

Running: gmer.exe; Driver: C:\Users\ferran\AppData\Local\Temp\pwdoypow.sys





---- System - GMER 1.0.15 ----



SSDT 9155036E ZwCreateSection

SSDT 91550378 ZwRequestWaitReplyPort

SSDT 91550373 ZwSetContextThread

SSDT 9155037D ZwSetSecurityObject

SSDT 91550382 ZwSystemDebugControl

SSDT 9155030F ZwTerminateProcess



---- Kernel code sections - GMER 1.0.15 ----



.text ntkrnlpa.exe!ZwSaveKey + 13D1 82A8D369 1 Byte [06]

.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82AC6D52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text ntkrnlpa.exe!KeRemoveQueueEx + 11F7 82ACDEAC 4 Bytes [6E, 03, 55, 91] {OUTSB ; ADD EDX, [EBP-0x6f]}

.text ntkrnlpa.exe!KeRemoveQueueEx + 1553 82ACE208 4 Bytes [78, 03, 55, 91] {JS 0x5; PUSH EBP; XCHG ECX, EAX}

.text ntkrnlpa.exe!KeRemoveQueueEx + 1597 82ACE24C 4 Bytes [73, 03, 55, 91] {JAE 0x5; PUSH EBP; XCHG ECX, EAX}

.text ntkrnlpa.exe!KeRemoveQueueEx + 1613 82ACE2C8 4 Bytes [7D, 03, 55, 91] {JGE 0x5; PUSH EBP; XCHG ECX, EAX}

.text ntkrnlpa.exe!KeRemoveQueueEx + 1667 82ACE31C 4 Bytes [82, 03, 55, 91] {ADD BYTE [EBX], 0x55; XCHG ECX, EAX}

.text ...



---- User code sections - GMER 1.0.15 ----



.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!EnableWindow 76C98D02 5 Bytes JMP 6ABB9A14 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!DialogBoxParamW 76CB3B9B 5 Bytes JMP 6AB1170B C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!DialogBoxIndirectParamW 76CC3B7F 5 Bytes JMP 6AD062BE C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!DialogBoxParamA 76CDCF42 5 Bytes JMP 6AD06259 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!DialogBoxIndirectParamA 76CDD274 5 Bytes JMP 6AD06323 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!MessageBoxIndirectA 76CEE869 5 Bytes JMP 6AD061E0 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!MessageBoxIndirectW 76CEE963 1 Byte [E9]

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!MessageBoxIndirectW 76CEE963 5 Bytes JMP 6AD06167 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!MessageBoxExA 76CEE9C9 5 Bytes JMP 6AD06103 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!MessageBoxExW 76CEE9ED 5 Bytes JMP 6AD0609F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] kernel32.dll!CreateThread 757EDCC2 5 Bytes JMP 6AB77303 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!EnableWindow 76C98D02 5 Bytes JMP 6ABB9A14 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!CallNextHookEx 76C9ABE1 5 Bytes JMP 6ABD7BB7 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!UnhookWindowsHookEx 76C9ADF9 5 Bytes JMP 6ABFEB74 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DefWindowProcA 76C9BB1C 7 Bytes JMP 6AB7952D C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!CreateWindowExA 76C9BF40 5 Bytes JMP 6AB83363 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!SetWindowsHookExW 76C9E30C 5 Bytes JMP 6ABB2194 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!CreateWindowExW 76C9EC7C 5 Bytes JMP 6ABDFF8F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DefWindowProcW 76CA507D 7 Bytes JMP 6ABD7C1A C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DialogBoxParamW 76CB3B9B 5 Bytes JMP 6AB1170B C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DialogBoxIndirectParamW 76CC3B7F 5 Bytes JMP 6AD062BE C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DialogBoxParamA 76CDCF42 5 Bytes JMP 6AD06259 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DialogBoxIndirectParamA 76CDD274 5 Bytes JMP 6AD06323 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!MessageBoxIndirectA 76CEE869 5 Bytes JMP 6AD061E0 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!MessageBoxIndirectW 76CEE963 1 Byte [E9]

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!MessageBoxIndirectW 76CEE963 5 Bytes JMP 6AD06167 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!MessageBoxExA 76CEE9C9 5 Bytes JMP 6AD06103 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!MessageBoxExW 76CEE9ED 5 Bytes JMP 6AD0609F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] ole32.dll!OleLoadFromStream 76F06143 5 Bytes JMP 6AD06A8C C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] kernel32.dll!CreateThread 757EDCC2 5 Bytes JMP 6AB77303 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!EnableWindow 76C98D02 5 Bytes JMP 6ABB9A14 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!CallNextHookEx 76C9ABE1 5 Bytes JMP 6ABD7BB7 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!UnhookWindowsHookEx 76C9ADF9 5 Bytes JMP 6ABFEB74 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DefWindowProcA 76C9BB1C 7 Bytes JMP 6AB7952D C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!CreateWindowExA 76C9BF40 5 Bytes JMP 6AB83363 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!SetWindowsHookExW 76C9E30C 5 Bytes JMP 6ABB2194 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!CreateWindowExW 76C9EC7C 5 Bytes JMP 6ABDFF8F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DefWindowProcW 76CA507D 7 Bytes JMP 6ABD7C1A C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DialogBoxParamW 76CB3B9B 5 Bytes JMP 6AB1170B C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DialogBoxIndirectParamW 76CC3B7F 5 Bytes JMP 6AD062BE C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DialogBoxParamA 76CDCF42 5 Bytes JMP 6AD06259 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DialogBoxIndirectParamA 76CDD274 5 Bytes JMP 6AD06323 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!MessageBoxIndirectA 76CEE869 5 Bytes JMP 6AD061E0 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!MessageBoxIndirectW 76CEE963 1 Byte [E9]

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!MessageBoxIndirectW 76CEE963 5 Bytes JMP 6AD06167 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!MessageBoxExA 76CEE9C9 5 Bytes JMP 6AD06103 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!MessageBoxExW 76CEE9ED 5 Bytes JMP 6AD0609F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] ole32.dll!OleLoadFromStream 76F06143 5 Bytes JMP 6AD06A8C C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] kernel32.dll!CreateThread 757EDCC2 5 Bytes JMP 6AB77303 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!EnableWindow 76C98D02 5 Bytes JMP 6ABB9A14 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!CallNextHookEx 76C9ABE1 5 Bytes JMP 6ABD7BB7 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!UnhookWindowsHookEx 76C9ADF9 5 Bytes JMP 6ABFEB74 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!DefWindowProcA 76C9BB1C 7 Bytes JMP 6AB7952D C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!CreateWindowExA 76C9BF40 5 Bytes JMP 6AB83363 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!SetWindowsHookExW 76C9E30C 5 Bytes JMP 6ABB2194 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!CreateWindowExW 76C9EC7C 5 Bytes JMP 6ABDFF8F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!DefWindowProcW 76CA507D 7 Bytes JMP 6ABD7C1A C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!DialogBoxParamW 76CB3B9B 5 Bytes JMP 6AB1170B C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!DialogBoxIndirectParamW 76CC3B7F 5 Bytes JMP 6AD062BE C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!DialogBoxParamA 76CDCF42 5 Bytes JMP 6AD06259 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!DialogBoxIndirectParamA 76CDD274 5 Bytes JMP 6AD06323 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!MessageBoxIndirectA 76CEE869 5 Bytes JMP 6AD061E0 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!MessageBoxIndirectW 76CEE963 1 Byte [E9]

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!MessageBoxIndirectW 76CEE963 5 Bytes JMP 6AD06167 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!MessageBoxExA 76CEE9C9 5 Bytes JMP 6AD06103 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] USER32.dll!MessageBoxExW 76CEE9ED 5 Bytes JMP 6AD0609F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[5644] ole32.dll!OleLoadFromStream 76F06143 5 Bytes JMP 6AD06A8C C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)



---- User IAT/EAT - GMER 1.0.15 ----



IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)



---- Devices - GMER 1.0.15 ----



Device \Driver\ACPI_HAL \Device\00000048 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)



AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Administrador de filtros del sistema de archivos de Microsoft/Microsoft Corporation)



---- EOF - GMER 1.0.15 ----



----------------------------------------------------------------------------------------------------------------------------------------------



lo he vuelto a SCANEAR...



GMER 1.0.15.15641 - http://www.gmer.net

Rootkit scan 2012-02-05 15:01:49

Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 Hitachi_HTS542525K9SA00 rev.BBFOC31P

Running: gmer.exe; Driver: C:\Users\ferran\AppData\Local\Temp\pwdoypow.sys





---- System - GMER 1.0.15 ----



SSDT 9155036E ZwCreateSection

SSDT 91550378 ZwRequestWaitReplyPort

SSDT 91550373 ZwSetContextThread

SSDT 9155037D ZwSetSecurityObject

SSDT 91550382 ZwSystemDebugControl

SSDT 9155030F ZwTerminateProcess



---- Kernel code sections - GMER 1.0.15 ----



.text ntkrnlpa.exe!ZwSaveKey + 13D1 82A8D369 1 Byte [06]

.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82AC6D52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text ntkrnlpa.exe!KeRemoveQueueEx + 11F7 82ACDEAC 4 Bytes [6E, 03, 55, 91] {OUTSB ; ADD EDX, [EBP-0x6f]}

.text ntkrnlpa.exe!KeRemoveQueueEx + 1553 82ACE208 4 Bytes [78, 03, 55, 91] {JS 0x5; PUSH EBP; XCHG ECX, EAX}

.text ntkrnlpa.exe!KeRemoveQueueEx + 1597 82ACE24C 4 Bytes [73, 03, 55, 91] {JAE 0x5; PUSH EBP; XCHG ECX, EAX}

.text ntkrnlpa.exe!KeRemoveQueueEx + 1613 82ACE2C8 4 Bytes [7D, 03, 55, 91] {JGE 0x5; PUSH EBP; XCHG ECX, EAX}

.text ntkrnlpa.exe!KeRemoveQueueEx + 1667 82ACE31C 4 Bytes [82, 03, 55, 91] {ADD BYTE [EBX], 0x55; XCHG ECX, EAX}

.text ...



---- User code sections - GMER 1.0.15 ----



.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!EnableWindow 76C98D02 5 Bytes JMP 6ABB9A14 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!DialogBoxParamW 76CB3B9B 5 Bytes JMP 6AB1170B C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!DialogBoxIndirectParamW 76CC3B7F 5 Bytes JMP 6AD062BE C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!DialogBoxParamA 76CDCF42 5 Bytes JMP 6AD06259 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!DialogBoxIndirectParamA 76CDD274 5 Bytes JMP 6AD06323 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!MessageBoxIndirectA 76CEE869 5 Bytes JMP 6AD061E0 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!MessageBoxIndirectW 76CEE963 1 Byte [E9]

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!MessageBoxIndirectW 76CEE963 5 Bytes JMP 6AD06167 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!MessageBoxExA 76CEE9C9 5 Bytes JMP 6AD06103 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3328] USER32.dll!MessageBoxExW 76CEE9ED 5 Bytes JMP 6AD0609F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] kernel32.dll!CreateThread 757EDCC2 5 Bytes JMP 6AB77303 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!EnableWindow 76C98D02 5 Bytes JMP 6ABB9A14 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!CallNextHookEx 76C9ABE1 5 Bytes JMP 6ABD7BB7 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!UnhookWindowsHookEx 76C9ADF9 5 Bytes JMP 6ABFEB74 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DefWindowProcA 76C9BB1C 7 Bytes JMP 6AB7952D C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!CreateWindowExA 76C9BF40 5 Bytes JMP 6AB83363 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!SetWindowsHookExW 76C9E30C 5 Bytes JMP 6ABB2194 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!CreateWindowExW 76C9EC7C 5 Bytes JMP 6ABDFF8F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DefWindowProcW 76CA507D 7 Bytes JMP 6ABD7C1A C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DialogBoxParamW 76CB3B9B 5 Bytes JMP 6AB1170B C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DialogBoxIndirectParamW 76CC3B7F 5 Bytes JMP 6AD062BE C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DialogBoxParamA 76CDCF42 5 Bytes JMP 6AD06259 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!DialogBoxIndirectParamA 76CDD274 5 Bytes JMP 6AD06323 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!MessageBoxIndirectA 76CEE869 5 Bytes JMP 6AD061E0 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!MessageBoxIndirectW 76CEE963 1 Byte [E9]

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!MessageBoxIndirectW 76CEE963 5 Bytes JMP 6AD06167 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!MessageBoxExA 76CEE9C9 5 Bytes JMP 6AD06103 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] USER32.dll!MessageBoxExW 76CEE9ED 5 Bytes JMP 6AD0609F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3808] ole32.dll!OleLoadFromStream 76F06143 5 Bytes JMP 6AD06A8C C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] kernel32.dll!CreateThread 757EDCC2 5 Bytes JMP 6AB77303 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!EnableWindow 76C98D02 5 Bytes JMP 6ABB9A14 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!CallNextHookEx 76C9ABE1 5 Bytes JMP 6ABD7BB7 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!UnhookWindowsHookEx 76C9ADF9 5 Bytes JMP 6ABFEB74 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DefWindowProcA 76C9BB1C 7 Bytes JMP 6AB7952D C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!CreateWindowExA 76C9BF40 5 Bytes JMP 6AB83363 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!SetWindowsHookExW 76C9E30C 5 Bytes JMP 6ABB2194 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!CreateWindowExW 76C9EC7C 5 Bytes JMP 6ABDFF8F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DefWindowProcW 76CA507D 7 Bytes JMP 6ABD7C1A C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DialogBoxParamW 76CB3B9B 5 Bytes JMP 6AB1170B C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DialogBoxIndirectParamW 76CC3B7F 5 Bytes JMP 6AD062BE C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DialogBoxParamA 76CDCF42 5 Bytes JMP 6AD06259 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!DialogBoxIndirectParamA 76CDD274 5 Bytes JMP 6AD06323 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!MessageBoxIndirectA 76CEE869 5 Bytes JMP 6AD061E0 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!MessageBoxIndirectW 76CEE963 1 Byte [E9]

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!MessageBoxIndirectW 76CEE963 5 Bytes JMP 6AD06167 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!MessageBoxExA 76CEE9C9 5 Bytes JMP 6AD06103 C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] USER32.dll!MessageBoxExW 76CEE9ED 5 Bytes JMP 6AD0609F C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[4732] ole32.dll!OleLoadFromStream 76F06143 5 Bytes JMP 6AD06A8C C:\Windows\system32\IEFRAME.dll (Explorador de Internet/Microsoft Corporation)



---- User IAT/EAT - GMER 1.0.15 ----



IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2136] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2184] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [753DFFF6] C:\Windows\system32\apphelp.dll (Biblioteca de compatibilidad de aplicaciones cliente/Microsoft Corporation)



---- Devices - GMER 1.0.15 ----



Device \Driver\ACPI_HAL \Device\00000048 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)



AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Administrador de filtros del sistema de archivos de Microsoft/Microsoft Corporation)



---- Files - GMER 1.0.15 ----



File C:\Users\ferran\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CONESJRS\watch[1].htm 0 bytes



---- EOF - GMER 1.0.15 ----

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 05 Feb 2012, 18:33

Pues con un inicio-> buscar mira de encontrar estos tres drivers y nos los envias para analizar:





fvevol.sys

fltmgr.sys

pwdoypow.sys



recordar:



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-2-2012

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 05 Feb 2012, 23:36

si pero por favor como hago para encontrar y enviar ?



ya he mirado el manual



no tengo ni idea, ni de como encontrarlos ni de enviarlos, si uno por uno , los 3 a la vez...



entiendo que donde pone el correo tengo que poner el vuestro ?



y por ejemplo del primero que me habeis puesto fvevol.sys hay 6 tengo que comprimir uno a uno o los 6 ?



gracias



[img]http://img7.imageshack.us/img7/7033/sinttulomia.png[/img]

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 06 Feb 2012, 09:49

Envianos el que tienes en la carpeta de c:\windows\system32\drivers, pues los demas o son enlaces de accesos directos o tienen otras extensiones añadidas.



y el método de enviarlos, puedes empaquetar todas las muestras en un ZIP O RAR con password virus :



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 6-2-2012

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 06 Feb 2012, 15:51

perdona mi ignorancia



empaquetar los 3 te refires :



fvevol.sys

fltmgr.sys

pwdoypow.sys



en el mismo envio ?

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 06 Feb 2012, 16:34

Eso es, empaquetas los tres en un ZIP o RAR con paaword virus y lo anexas a un mail como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 6-2-2012

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 07 Feb 2012, 14:46

no entiendo porque pero cuando quiero comprimirlo con la version del winzip de evaluacion me dice que estoy intentando comprimir un archivo en un disco de solo lectura ? :?:

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 07 Feb 2012, 16:29

Sí, te lo indico en mi anterior post:


[quote="msc"]
y el método de enviarlos, puedes empaquetar todas las muestras en un ZIP O RAR con password virus
[/quote]


saludos



ms, 7-2-2012

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 07 Feb 2012, 17:11

perdona no me deja, me dice que quiero comprimir archivo de solo lectura



:?:

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 07 Feb 2012, 17:23

Quizás tienen atributo de Read Only o Solo Lectura, pulsa boton derecho en propiedades y desmarca dicha casilla si estuviera marcada...





ms.

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 07 Feb 2012, 17:31

el boton derecho del raton cuando, cuando este encima del fichero o del archivo ? porque si es asi ya lo he mirado y en atributos no esta marcado ni solo lectura ni oculto.



y me dice esta tratando de crear un nuevo archivo en un disco de solo lectura y luego pone la direccion del archivo c:.......

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 07 Feb 2012, 18:48

Y lo haces en una carpeta del disco duro ??? No lo estarás haciendo en un CD...



Y si tienes mas problemas al respecto, prueba de enviarnos uno a uno dichos ficheros, a ver si nos llegan (si hay suerte y no los intercepta ningun AV del servidor de correo...)



A ver si mañana los recibimos y los podemos analizar



saludos



ms, 7-2-2012

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 07 Feb 2012, 20:08

cuando lo voy a mandar por vuestra pagina ( envio de muestras ) dice que solo se pueden subir archivos comprimidos .rar.zip



:(



mira te pego la pantalla de lo que hago



[img]http://img834.imageshack.us/img834/8791/sinttulorfh.png[/img]



uso el winzip que he descargado en uso de la version de evaluacion y una vez con la opcion del raton derecho le doy a la opcion primera que dice añadir a archivo zip y al poner la contra me dice lo que te he indicado

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 08 Feb 2012, 08:49

En mi ultimo post ya decia que probaras de enviarlo sin empaquetar ...



ms.

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 08 Feb 2012, 15:47

es que no lo empaqueto ni lo comprimo, simplemente en la pagina de zonavirus arriba donde dice envio de muestras, pues cuando le doy y quiero incluir o añadir uno solo es cuando me dice que solo pueden ser comprimidos.



entonces como lo mando, si en vuestra pagina donde dice envio de muestras solo permite comprimidos, y no lo puedo comprimir ?



Y si lo tengo que mandar por hotmail directamente, puedes decirm como tengo que hacerlo ?



gracias

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 08 Feb 2012, 17:02

Anexa los ficheros a un mail que dirijas a virus@satinfo.es, y en el ASUNTO pon tu nick del foro.



Con un poco de suerte lo recibiremos y te informaremos del resultado del analisis.



ms,

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 09 Feb 2012, 01:17

lo he mandado y explico en el correo que los 2 primeros salian mas de una vez, el pwdoypow.sys no lo encuentro...como puedo hacer para encontrarlo



gracias

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 09 Feb 2012, 10:01

Prueba con un Inicio -> Buscar pero que mire ficheros ocultos...



Y me consta que se han recibido muestras tuyas que se están analizando, ya te informartemos del resultado.



saludos



ms, 9-2-2012

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92777
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: el spybot me detecta cambios en registros

Mensaje por msc hotline sat » 09 Feb 2012, 10:33

En los dos ficheros que has enviado no se han detectado rutinas víricas:





SHA256: 6ec65511b4838a7172a8f89e35c2f9df4f0bfce3be12eda790f3eb567102ff67

SHA1: c64510f0ead14b8a222de7f6b9a4839c3ddf63d5

MD5: 7520ec808e0c35e0ee6f841294316653

Tamaño: 193.6 KB ( 198208 bytes )

Nombre: fltMgr.sys

Tipo: Win32 DLL

Detecciones: 0 / 43

Fecha de análisis: 2012-02-09 09:19:15 UTC ( hace 0 minutos )





publisher................: Microsoft Corporation

product..................: Microsoft_ Windows_ Operating System

internal name............: fltMgr.sys

copyright................: (c) Microsoft Corporation. All rights reserved.

original name............: fltMgr.sys.mui

signing date.............: 2:20 AM 7/14/2009

signers..................: Microsoft Windows

Microsoft Windows Verification PCA

Microsoft Root Certificate Authority

file version.............: 6.1.7600.16385 (win7_rtm.090713-1255)

description..............: Microsoft Filesystem Filter Manager







___________







SHA256: 844dc5aadfabbd050b967904b796ba06bfd64c9112616ea26229d084f8b3ad41

SHA1: b3f17c6b4c6ad3dd04b49b935e22453e5a9bef48

MD5: 8a73e79089b282100b9393b644cb853b

Tamaño: 190.2 KB ( 194800 bytes )

Nombre: fvevol.sys

Tipo: Win32 EXE

Detecciones: 0 / 43

Fecha de análisis: 2012-02-09 09:16:56 UTC ( hace 5 minutos )





publisher................: Microsoft Corporation

product..................: Microsoft_ Windows_ Operating System

internal name............: FVEVOL.SYS

copyright................: (c) Microsoft Corporation. All rights reserved.

original name............: FVEVOL.SYS

signing date.............: 1:24 PM 11/20/2010

signers..................: Microsoft Windows

Microsoft Windows Verification PCA

Microsoft Root Certificate Authority

file version.............: 6.1.7601.17514 (win7sp1_rtm.101119-1850)

description..............: BitLocker Drive Encryption Driver









y ha resultado ser de Microsoft, ningun problema con ellos.





Y habiendo sido los unicos sospechosos de los informes posteados, no encontramos nada malicioso en ellos y solo esperamos que nos diga si ha encontrado oculto el otro fichero que le pediamos, y en su caso analizarlo, y sino daremos por terminado el Tema



saludos



ms, 9-2-2012

impulsiu
Asiduo al foro
Asiduo al foro
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: el spybot me detecta cambios en registros

Mensaje por impulsiu » 09 Feb 2012, 11:34

hola



2 cosas



el x86 que tambien mande que correspondia a uno de los 3 archivos no se tiene que analizar ?



el pwdoypow.sys he habilitado ver carpetas y archivos ocultos y nada sigo sin encontrarlo...y si lo visteis no puede haber desaparecido ; que puedo hacer para localizarlo ? donde lo visteis ?



gracias

Cerrado

Volver a “Foro Spyware”