Hola y saludos a tod@s los que haceis posible este magnifico foro. Como menciono en el titulo, IE me va muy lento e incluso, en ocasiones, intento entrar a webs como google y no me deja apareciendome el dichoso mensajito web no disponible sin conexion. A continuacion, les pego mi log del hijackthis por si alguno de ustedes es capaz de apreciar algo raro. Sin mas, muchisimas gracias a tod@s que me presten su ayuda.
Logfile of HijackThis v1.99.1
Scan saved at 14:25:05, on 08/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Archivos de programa\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\eMule\eMule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\ignacio\Escritorio\HijackThis.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Internet muy lento y sin conexion (SOLUCIONADO)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues elimina esta clave:
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
y luego prueba el ELISTARA:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 8-05-2007
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
->
y luego prueba el ELISTARA:
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 8-05-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Perdona por no haber respondido antes msc pero se me olvidó. Te cuento lo que me pasó a continuación. El Elistara no llegó ni a analizar mi PC ya que me eliminó directamente accesos directos y varias carpetas que tenía en Mis Documentos y los tuve que volver a restaurar. Por este motivo, no te contesté antes ya que no me generó ningún log y no me da confianza volver a ejecutar esta herrmienta nuevamente.
Saludos
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Las versiones de evaluacion están para probarlas, y pueden tener falsos positivos, pero lo soslayamos y mejoramos a diario
Si no quieres probarla, pues dinos si con eliminar la clave fue suficiente, y por lo menos aprovecha el acceso que te damos y prieba el ELISTARA desmarcando la casilla inferior izquierda de ELIMINAR FICHEROS AUTOMATICAMENTE, al menos asi hara el informe y podremos ver si hay algo mas...
saludos
ms, 3.06.2007
Si no quieres probarla, pues dinos si con eliminar la clave fue suficiente, y por lo menos aprovecha el acceso que te damos y prieba el ELISTARA desmarcando la casilla inferior izquierda de ELIMINAR FICHEROS AUTOMATICAMENTE, al menos asi hara el informe y podremos ver si hay algo mas...
saludos
ms, 3.06.2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hola nuevamente!!! La clave que me aconsejaste quitar la eliminé y ya no vuelve a salir más de lo cual le quedo muy agradecido; pero me conmueve una curiosidad: ¿ de qué se trataba?, ¿ era algún malware?. Otra cosilla que me gustaría que me aclarases es por qué dices eso de que las versiones de evaluación están sólo para probarlas ¿ a qué te refieres exactamente? perdona por mi ignorancia pero es que no he entendido bien lo que me quieres decir con eso :oops: .
Saludos:wink:
Saludos
Ah y perdona por ponerlo en un mensaje aparte pero se me olvidaba!!! Te pongo mi log por si ves algo extraño que deba eliminar. Muchísimas gracias por sus molestias, es usted un genio de la informática :wink: .
Logfile of HijackThis v1.99.1
Scan saved at 14:50:26, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe
C:\Archivos de programa\rnamfler\naofsvc.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\rnamfler\naomf.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE
C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
C:\WINDOWS\system32\ctfmon.exe
c:\archivos de programa\rnamfler\radprcmp.exe
C:\Archivos de programa\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
c:\archivos de programa\panda software\panda internet security 2007\WebProxy.exe
C:\Archivos de programa\eMule\eMule.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\CCleaner\ccleaner.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\psimreal.exe
C:\Documents and Settings\Bronsson\Mis documentos\Herramientas varias\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [wrna3ls] C:\Archivos de programa\rnamfler\naomf.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Archivos de programa\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) -http://foremeuskadi.cae.net/content/global/cursoscae/cengine.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) -https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascinstie.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) -https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7D09A0-9747-4A85-9A23-B19F63BF1DD8}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F7D09A0-9747-4A85-9A23-B19F63BF1DD8}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: RdnaoFlSvc - Unknown owner - C:\Archivos de programa\rnamfler\naofsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Logfile of HijackThis v1.99.1
Scan saved at 14:50:26, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe
C:\Archivos de programa\rnamfler\naofsvc.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\rnamfler\naomf.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE
C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
C:\WINDOWS\system32\ctfmon.exe
c:\archivos de programa\rnamfler\radprcmp.exe
C:\Archivos de programa\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
c:\archivos de programa\panda software\panda internet security 2007\WebProxy.exe
C:\Archivos de programa\eMule\eMule.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\CCleaner\ccleaner.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\psimreal.exe
C:\Documents and Settings\Bronsson\Mis documentos\Herramientas varias\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [wrna3ls] C:\Archivos de programa\rnamfler\naomf.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Archivos de programa\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) -
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7D09A0-9747-4A85-9A23-B19F63BF1DD8}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F7D09A0-9747-4A85-9A23-B19F63BF1DD8}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: RdnaoFlSvc - Unknown owner - C:\Archivos de programa\rnamfler\naofsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Lo que preguntabas sobre la clave eliminada, era un resto de un troyano que tuviste:
[quote="Sophos, sobre el MSMEDIA.EXE", ]W32/Tilebot-BG es un gusano para Windows que incluye un troyano de puerta trasera.
W32/Tilebot-BG se extiende a ordenadores en red aprovechándose de vulnerabilidades del desbordamiento del buffer, incluyendo: LSASS (MS04-011), RPC-DCOM (MS04-012), PNP (MS05-039) y ASN.1 (MS04-007) y copiándose a unidades compartidas de red protegidas por contraseñas no seguras.
W32/Tilebot-BG está activo de forma continua en un segundo plano y proporciona un servidor de puerta trasera, que permite a un atacante remoto acceder y controlar el ordenador a través de canales IRC.
W32/Tilebot-BG permite acceder a Internet y comunicarse con un servidor remoto vía HTTP.
Al ejecutarse por primera vez, W32/Tilebot-BG se traslada a <Windows>\MSmedia.exe y crea el archivo <System>\rdiv.sys.
El archivo rdriv.sys es detectado como Troj/Rootkit-W.
El archivo MSmedia.exe se registra como un nuevo controlador de servicio con el nombre "MicroSoft Media Tools", y mostrará el nombre "MicroSoft Media Tools" y se iniciará de forma automática al inicio del sistema. Las entradas en el registro se crearán en:
HKLM\SYSTEM\CurrentControlSet\Services\MicroSoft Media Tools
El archivo rdiv.sys es registrado como un nuevo controlador de servicio con el nombre "rdiv",
y mostrará el nombre "rdiv". Las entradas en el registro se crearán en:
HKLM\SYSTEM\CurrentControlSet\Services\rdiv\
W32/Tilebot-BG crea las siguientes entradas en el registro y desactiva así el inicio automático de cualquier otro programa:
HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
Start
4
Las entradas en el registro se crearán de la siguiente manera:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2
1
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1
Es posible que las siguientes entradas del registro sean modificadas:
HKLM\SOFTWARE\Microsoft\Security Center\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\
[/quote]
y lo que preguntas sobre las utilidades de SATINFO que se ofrecen en el foro para evaluar, tienen Copyright y quien quiere usarlas debe tener licencia de uso , segun contrato de Asistencia Tecnica de dicha empresa, de la que como Director Tecnico consigo me permitan ofrecerlas en este foro (unica y exclusivamente) para probarlas y mejorarlas, pero no para guardarlas o usarlas fuera del foro, pues para ello se habría de pagar la cuota de asociado, igual que los mas 300.000 usuarios que son los que pagan nuestros sueldos y estructura (somos 25 personas, ingenieros e infraestructura de soporte, 50 ordenadores, tres webs, locales con total de 500 m2, etc ) y que ademas de la licencia de uso del antivirus de Mcafee, de quienes somos mayoristas en España (como de otros fabricantes, TUXGATE, ALPHASHIELD, CLAVISTER, SPAMINA,etc), contratan nuestros servicios de soporte, asistencia HOTLINE, y solucion de problemas viricos, igual que en el foro se hace altruistamente, pero mucho mas limitado, claro.
Igualmente, si bien las utilidades piden muestras para analizar y que se envien avirus@satinfo.es , si en el mail no indican codigo de cliente asociado, van a la cola, pasando por delante de todos los asociados, en segundo lugar los foreros de zonavirus, que los envian a zonavirus@satinfo.es y en ultimo lugar los que los envian a virus@satinfo.es sin ser clientes asociados.
Y mañana, cuando volvamos al trabajo (Hoy es fiesta en Barcelona) habrá, como cada fin de semana, mas de mil mails que se clasificarán y entrarán en proceso segun dicha clasificacion, si bien a final de semana cerramos a mediodia la entrada procurando dejar a cero muestras y consultas de clientes y de zonavirus, mientras que de no clientes siempre quedan algun centenar...
Disfrutad de este foro y de la evaluacion de nuestras utilidades, que hay en ellas mucha ingenieria y experiencia aplicada.
Y una vez solucionado el problema y aclaradas las preguntas, damos por solucionado el Tema y procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 4-06-2007
[quote="Sophos, sobre el MSMEDIA.EXE", ]W32/Tilebot-BG es un gusano para Windows que incluye un troyano de puerta trasera.
W32/Tilebot-BG se extiende a ordenadores en red aprovechándose de vulnerabilidades del desbordamiento del buffer, incluyendo: LSASS (MS04-011), RPC-DCOM (MS04-012), PNP (MS05-039) y ASN.1 (MS04-007) y copiándose a unidades compartidas de red protegidas por contraseñas no seguras.
W32/Tilebot-BG está activo de forma continua en un segundo plano y proporciona un servidor de puerta trasera, que permite a un atacante remoto acceder y controlar el ordenador a través de canales IRC.
W32/Tilebot-BG permite acceder a Internet y comunicarse con un servidor remoto vía HTTP.
Al ejecutarse por primera vez, W32/Tilebot-BG se traslada a <Windows>\MSmedia.exe y crea el archivo <System>\rdiv.sys.
El archivo rdriv.sys es detectado como Troj/Rootkit-W.
El archivo MSmedia.exe se registra como un nuevo controlador de servicio con el nombre "MicroSoft Media Tools", y mostrará el nombre "MicroSoft Media Tools" y se iniciará de forma automática al inicio del sistema. Las entradas en el registro se crearán en:
HKLM\SYSTEM\CurrentControlSet\Services\MicroSoft Media Tools
El archivo rdiv.sys es registrado como un nuevo controlador de servicio con el nombre "rdiv",
y mostrará el nombre "rdiv". Las entradas en el registro se crearán en:
HKLM\SYSTEM\CurrentControlSet\Services\rdiv\
W32/Tilebot-BG crea las siguientes entradas en el registro y desactiva así el inicio automático de cualquier otro programa:
HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
Start
4
Las entradas en el registro se crearán de la siguiente manera:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2
1
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1
Es posible que las siguientes entradas del registro sean modificadas:
HKLM\SOFTWARE\Microsoft\Security Center\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\
[/quote]
y lo que preguntas sobre las utilidades de SATINFO que se ofrecen en el foro para evaluar, tienen Copyright y quien quiere usarlas debe tener licencia de uso , segun contrato de Asistencia Tecnica de dicha empresa, de la que como Director Tecnico consigo me permitan ofrecerlas en este foro (unica y exclusivamente) para probarlas y mejorarlas, pero no para guardarlas o usarlas fuera del foro, pues para ello se habría de pagar la cuota de asociado, igual que los mas 300.000 usuarios que son los que pagan nuestros sueldos y estructura (somos 25 personas, ingenieros e infraestructura de soporte, 50 ordenadores, tres webs, locales con total de 500 m2, etc ) y que ademas de la licencia de uso del antivirus de Mcafee, de quienes somos mayoristas en España (como de otros fabricantes, TUXGATE, ALPHASHIELD, CLAVISTER, SPAMINA,etc), contratan nuestros servicios de soporte, asistencia HOTLINE, y solucion de problemas viricos, igual que en el foro se hace altruistamente, pero mucho mas limitado, claro.
Igualmente, si bien las utilidades piden muestras para analizar y que se envien a
Y mañana, cuando volvamos al trabajo (Hoy es fiesta en Barcelona) habrá, como cada fin de semana, mas de mil mails que se clasificarán y entrarán en proceso segun dicha clasificacion, si bien a final de semana cerramos a mediodia la entrada procurando dejar a cero muestras y consultas de clientes y de zonavirus, mientras que de no clientes siempre quedan algun centenar...
Disfrutad de este foro y de la evaluacion de nuestras utilidades, que hay en ellas mucha ingenieria y experiencia aplicada.
Y una vez solucionado el problema y aclaradas las preguntas, damos por solucionado el Tema y procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 4-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online