koos.exe

[kitten]

:!: Hola señores ZonaV:

Buscando en Google encontre a alguien en su foro con un problema similar.

McAfee empezó a dar anuncios sobre un posible worm que trata de enviar emails recurrentemente. Sondeando la PC con una utilidad llamada Essentials Net Tools, me encontré un "tremendo" tráfico hacia/desde servidores de toda clase; quien se conectaba era Explorer.exe (alrededor de 50 procesos), y un solo Koos.exe que tiene la mala apariencia de un virus o similar.

Mi PC apenas entra en conexión con internet, empieza ese tráfico en masa, no puedo detenerlo, necesito de su ayuda.

Koos.exe se conecta a un servidor "110.84.32.216.static.reverse.layeredtech.com"; además hay un Ent.exe que parece similar.

Mi trabajo se estanca debido a ese problema, agradecería ayuda (urgente).

Gracias.

[msc hotline sat]

PRuebe el ELITRIIP y si en el infosat no se detecta nada ni pide muestras, pruebe el SPROCES.EXE y posteenos el contenido del SPROCLOG.TXT:







ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





_______







SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 6-06-2007

[kitten]

Hola de nuevo.



Probé ELISTARA.15062007 hi mató a koos.exe, pero el problema persiste: Explorer.exe se conecta en muchos procesos (mas de 50) a diferentes servidores masivamente, y la red está siempre ocupada, ese es el problema.

Ya no está koos.exe, ahora se sospecha de windows\system32\qsjmagoza.dll que aparece según el HiJackThis en el archivo WinsockLSP.

Les adjunto un zip con: HiJackThis log, HiJackThis startup list, infosat, net (donde está el tráfico de la red en un momento dado, todos los servidores referidos).



Gracias de nuevo.



PD: es la tercera vez que escribo la misma ya que se me cuelga la red.

[msc hotline sat]

No, no, posteelo en el foro, con un copiar y pegar, como se indica en:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 6-06-2007

[kitten]

Ya, aquí va la información:



+HiJackThis LOG:

----------------------------

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 04:36:01 a.m., on 06/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\STacSV.exe

C:\Archivos de programa\UPHClean\uphclean.exe

C:\Archivos de programa\Microsoft Virtual Server\vmh.exe

C:\WINDOWS\system32\mqsvc.exe

C:\WINDOWS\system32\mqtgsvc.exe

D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\sttray.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\mHotkey.exe

D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\ARCHIV~1\SCROLL~1\MouseElf.EXE

E:\Equipment\Programs\Microsoft Student\Microsoft Student con Encarta Premium 2007 DVD\EDICT.EXE

C:\Archivos de programa\WinZip\WZQKPICK.EXE

D:\Equipment\Programs\MagicDisc\MagicDisc.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\explorer.exe

F:\temp\Ks\HiJackThis_v2.exe

D:\Equipment\Programs\EssNetTools3\Ent.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -



D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} -



C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} -



D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} -



c:\archiv~1\mcafee.com\vso\mcvsshl.dll (file missing)

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Equipment\Programs\Adobe\Adobe



Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes -



{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll



(file missing)

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos



de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - D:\Equipment\Programs\Power Translator



10\Applications\LEC IE Translation Extension.dll

O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [Adobe Version Cue CS2] "D:\Equipment\Programs\Adobe\Adobe Version Cue



CS2\ControlPanel\VersionCueCS2Tray.exe"

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\SCROLL~1\MouseElf.EXE

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Archivos de



programa\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Archivos de



programa\Corel\Graphics10\Register\NavLoad.ini"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [L07EXLRD_6977078] "E:\Equipment\Programs\Microsoft Student\Microsoft Student con



Encarta Premium 2007 DVD\EDICT.EXE" -m

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MagicDisc.lnk = D:\Equipment\Programs\MagicDisc\MagicDisc.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos



comunes\Autodesk Shared\acstart17.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Convertir a PDF de Adobe - res://D:\Equipment\Programs\Adobe\Adobe



Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://D:\Equipment\Programs\Adobe\Adobe



Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente -



res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe -



res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente -



res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe -



res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe -



res://D:\Equipment\Programs\Adobe\Adobe Acrobat



7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente -



res://D:\Equipment\Programs\Adobe\Adobe Acrobat



7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download with GetRight - D:\Equipment\Programs\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel -



res://C:\ARCHIV~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - D:\Equipment\Programs\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de



programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos



de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -



C:\ARCHIV~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos



de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de



programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos



de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qsjmagoza.dll

O16 - DPF: {7C896371-4B7F-4B34-95B1-24851F5DED24} (Microsoft Virtual Server VMRC Control) -



http://kitten/VirtualServer/activex/VMRCActiveXClient.cab

O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) -



file://H:\psdk2003\controls\sdkinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{15903F13-F2E8-4D99-8657-00528036CFBF}: NameServer =



200.48.225.130,200.48.225.146

O17 - HKLM\System\CS1\Services\Tcpip\..\{15903F13-F2E8-4D99-8657-00528036CFBF}: NameServer =



200.48.225.130,200.48.225.146

O17 - HKLM\System\CS2\Services\Tcpip\..\{15903F13-F2E8-4D99-8657-00528036CFBF}: NameServer =



200.48.225.130,200.48.225.146

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} -



C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente -



{8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe



Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - D:\Equipment\Programs\Adobe\Adobe



Version Cue CS2\bin\VersionCueCS2.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos



comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner -



C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administración de IIS (IISADMIN) - Unknown owner -



C:\WINDOWS\system32\inetsrv\inetinfo.exe

O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Archivos de



programa\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner -



C:\WINDOWS\system32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe



(file missing)

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC -



D:\Equipment\Programs\Power Translator 10\LogoMedia TranslateDotNet Server.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos



comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\archivos de



programa\mcafee.com\agent\mcdetect.exe (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe



(file missing)

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner -



c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe (file missing)

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner -



C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner -



C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Publicación en FTP (MSFtpsvc) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos



comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner -



C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner -



C:\WINDOWS\system32\inetsrv\inetinfo.exe

O23 - Service: Servicio SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner -



C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner -



C:\WINDOWS\system32\inetsrv\inetinfo.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner -



C:\WINDOWS\system32\wbem\wmiapsrv.exe

O24 - Desktop Component 0: (no name) - C:\Documents and Settings\Kitten main\Mis



documentos\Splendido.png

O24 - Desktop Component 1: (no name) - C:\Documents and Settings\Kitten main\Mis



documentos\Splendido.gif



--

End of file - 14799 bytesç









+InfoSat:

-------------------------

Wed Jun 06 02:00:36 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Jun 06 02:08:34 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Detectada Posible Infección del Proxy.Wopla.AG



Wed Jun 06 02:09:21 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Jun 06 02:09:29 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Borland\BDS\4.0\RaveReports\DataLinks\SQLEDITOR.DLL --> Eliminado, Spy.Delf



(BHO)

C:\Archivos de programa\Borland\CBuilder6\Bin\MTSINST.EXE --> Eliminado, Spy.Delf (BHO)

C:\Archivos de programa\Borland\Delphi7\Bin\EXPTDEMO.DLL --> Eliminado, Affilred (BHO)

C:\Archivos de programa\Ontrack\EasyRecovery Professional Vol B\WORDREPAIR.DLL --> Eliminado, NavHelper



(BHO)

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15-3.INF --> Eliminado, MyWebSearch(inf)

C:\WINDOWS\system32\spool\drivers\w32x86\AD2KUIGP.DLL --> Eliminado, Hotbar

C:\WINDOWS\system32\spool\drivers\w32x86\3\AD2KUIGP.DLL --> Eliminado, Hotbar



Wed Jun 06 02:23:23 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Wed Jun 06 02:28:33 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Wed Jun 06 02:29:59 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Wed Jun 06 02:30:02 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\Temp\MINSTALL.EXE --> Eliminado, DownLoader.Vixup

G:\Temp\empty\MINSTALL.EXE --> Eliminado, DownLoader.Vixup

Detectada Posible Infección del Proxy.Wopla.AG



Wed Jun 06 02:34:58 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\KOOS.EXE --> Eliminado Proxy.Wopla.AG

C:\WINDOWS\SYSTEM32\KPROF --> Eliminado

C:\WINDOWS\SYSTEM32\POOF --> Eliminado

Eliminado Servicio, "kprof"

Eliminado Servicio, "poof"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jun 06 02:35:16 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Jun 06 02:59:54 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Wed Jun 06 03:09:10 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Wed Jun 06 03:12:44 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Exploración Detenida por el Usuario.



Wed Jun 06 03:12:49 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Wed Jun 06 03:12:52 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Wed Jun 06 03:15:23 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Jun 06 03:15:37 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Jun 06 03:55:07 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Jun 06 03:55:19 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\







+Tráfico de Red (parcial):

---------------------------------



Protocolo IP Loc. Puerto Loc. IP Rem. Puerto Rem. Estado Hostname



Proceso





TCP 127.0.0.1 1030 127.0.0.1 50701 ESTABLISHED localhost



D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

TCP 127.0.0.1 1032 N/A N/A LISTEN C:\WINDOWS\System32\alg.exe

TCP 192.168.1.2 1034 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru System

TCP 192.168.1.2 1036 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 1036 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru System

TCP 192.168.1.2 1037 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru System

TCP 192.168.1.2 1039 81.211.64.50 smtp TIME_WAIT mx.pochta.ru System

TCP 192.168.1.2 1039 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru System

TCP 192.168.1.2 1044 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 1046 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 1051 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru System

TCP 192.168.1.2 1058 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru System

TCP 192.168.1.2 1062 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 1062 81.211.64.50 smtp TIME_WAIT mx.pochta.ru System

TCP 192.168.1.2 1065 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 1065 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru System

UDP 0.0.0.0 1070 N/A N/A LISTEN C:\WINDOWS\system32\svchost.exe

UDP 0.0.0.0 1074 N/A N/A LISTEN C:\WINDOWS\system32\svchost.exe

TCP 192.168.1.2 1080 81.211.64.50 smtp TIME_WAIT mx.pochta.ru System

TCP 192.168.1.2 1082 213.180.223.90 smtp TIME_WAIT mxfront4.yandex.ru System

TCP 192.168.1.2 1092 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 1092 213.180.223.90 smtp SYN_SENT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 1092 81.211.64.50 smtp TIME_WAIT mx.pochta.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 1095 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 1097 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 1098 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 1099 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru System

TCP 192.168.1.2 1099 81.211.64.50 smtp TIME_WAIT mx.pochta.ru System

.

.

.

TCP 192.168.1.2 2359 213.180.223.90 smtp CLOSE_WAIT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2373 194.67.23.20 smtp TIME_WAIT mxs.mail.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2373 213.180.223.90 smtp SYN_SENT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2376 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru System

TCP 192.168.1.2 2376 81.211.64.50 smtp TIME_WAIT mx.pochta.ru System

TCP 192.168.1.2 2383 213.180.223.90 smtp SYN_SENT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2383 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2402 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 2410 213.180.223.90 smtp CLOSE_WAIT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2412 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2412 213.180.223.90 smtp SYN_SENT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2414 81.19.66.26 smtp TIME_WAIT mx7.rambler.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2414 194.67.23.20 smtp ESTABLISHED mxs.mail.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2419 194.67.23.20 smtp ESTABLISHED mxs.mail.ru System

TCP 192.168.1.2 2419 213.180.194.100 smtp TIME_WAIT sansara.yandex.net System

TCP 192.168.1.2 2421 81.211.64.50 smtp TIME_WAIT mx.pochta.ru System

TCP 192.168.1.2 2431 213.180.223.90 smtp SYN_SENT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2437 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 2441 194.67.23.20 smtp ESTABLISHED mxs.mail.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2454 213.180.223.90 smtp CLOSE_WAIT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2457 213.180.223.90 smtp SYN_SENT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2504 194.67.23.20 smtp TIME_WAIT mxs.mail.ru System

TCP 192.168.1.2 2506 213.180.223.90 smtp SYN_SENT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2550 213.180.223.90 smtp SYN_SENT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2550 194.67.23.20 smtp TIME_WAIT mxs.mail.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2589 81.211.64.50 smtp TIME_WAIT mx.pochta.ru



C:\WINDOWS\explorer.exe

TCP 192.168.1.2 2589 213.180.223.90 smtp SYN_SENT mxfront4.yandex.ru



C:\WINDOWS\explorer.exe

TCP, 192.168.1.2, 4696, 194.120.109.11, smtp, CLOSE_WAIT, ,



C:\WINDOWS\Explorer.EXE

TCP, 192.168.1.2, 4706, 196.35.198.130, smtp, CLOSE_WAIT, mxi01.mxrc.co.za,



C:\WINDOWS\Explorer.EXE

TCP, 192.168.1.2, 4711, 64.18.5.11, smtp, CLOSE_WAIT, *.s6a2.psmtp.com,



C:\WINDOWS\Explorer.EXE

EXE



La congestión sigue.



Disculpen la riterada molestia, Gracias.

[kitten]

Hola.



El ELITRIIP no encontró nada, el InfoSat resultante es el anterior que publique.

El SPROCES.EXE mandó el siguiente log:



Wed Jun 06 17:17:07 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

D:\EQUIPMENT\PROGRAMS\ADOBE\ADOBE VERSION CUE CS2\BIN\VERSIONCUECS2.EXE

C:\WINDOWS\SYSTEM32\INETSRV\INETINFO.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\SNMP.EXE

C:\WINDOWS\SYSTEM32\STACSV.EXE

C:\ARCHIVOS DE PROGRAMA\UPHCLEAN\UPHCLEAN.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT VIRTUAL SERVER\VMH.EXE

D:\EQUIPMENT\PROGRAMS\ADOBE\ADOBE VERSION CUE CS2\DATA\DATABASE\BIN\MYSQLD-NT.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\STTRAY.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\MHOTKEY.EXE

D:\EQUIPMENT\PROGRAMS\ADOBE\ADOBE VERSION CUE CS2\CONTROLPANEL\VERSIONCUECS2TRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\ARCHIV~1\SCROLL~1\MOUSEELF.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

E:\EQUIPMENT\PROGRAMS\MICROSOFT STUDENT\MICROSOFT STUDENT CON ENCARTA PREMIUM 2007 DVD\EDICT.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

D:\EQUIPMENT\PROGRAMS\MAGICDISC\MAGICDISC.EXE

D:\EQUIPMENT\PROGRAMS\ESSNETTOOLS3\ENT.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

F:\TEMP\KS\SPROCES.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

F:\TEMP\KS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll (file missing)

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - D:\Equipment\Programs\Power Translator 10\Applications\LEC IE Translation Extension.dll

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [L07EXLRD_6977078] "E:\Equipment\Programs\Microsoft Student\Microsoft Student con Encarta Premium 2007 DVD\EDICT.EXE" -m

O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [Adobe Version Cue CS2] "D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\SCROLL~1\MouseElf.EXE

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Archivos de programa\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Archivos de programa\Corel\Graphics10\Register\NavLoad.ini"

O4 - Startup: desktop.ini

O4 - Startup: MagicDisc.lnk

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O8 - Extra context menu item: Convertir a PDF de Adobe - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download with GetRight - D:\Equipment\Programs\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - D:\Equipment\Programs\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {7C896371-4B7F-4B34-95B1-24851F5DED24} (Microsoft Virtual Server VMRC Control) - http://kitten/VirtualServer/activex/VMRCActiveXClient.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_05) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.5.0_05) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - file://H:\psdk2003\controls\sdkinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{15903F13-F2E8-4D99-8657-00528036CFBF}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Archivos de programa\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe (file missing)

O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\archivos de programa\mcafee.com\agent\mcdetect.exe (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe (file missing)

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)





Gracias.

[msc hotline sat]

Puede eliminar estas lineas, :





O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts



O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)



O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)



O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll (file missing)



O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)





pero lo mas importante es que con el LPSFIX restaure las entradas O10 que aparecen en el log:



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)



y tras ello reiniciar y si sun persisten anomalias, indicar cuales y postearnos nuevo log del HJT de entonces, gracias



saludos



ms, 7-06-2007

[kitten]

Hola ZonaV.



La situación ahora es confusa, luego de probar otros antivirus en línea y gratuitos (los cuales cada uno detectaba una cosa diferente), mi computadora sigue lenta; pero la conexión en masa a diferentes servidores de Internet, al parecer, sesó.

Digo al parecer, por que despues de unas buenas horas de trabajo tranquilo, reanuda ese comportamiento. Lo que hago es desconectar el cable de red, y luego de trabajar otras horas, lo vuelvo a conectar y todo tranquilo, como ahora por ejemplo en que todo parece bien (y corrí HiJackThis en este momento), pero esa situación no es de confianza.

Al usar el LSP-Fix, no curó nada, por que no había nada que reparar (al menos en ese momento). La cosa es muy confusa y sobre todo de mucha desconfianza.

los últimos sospechosos que encontré fueron QSJMAGOZA.DLL y VEFURYPLKIYSM.DLL que se localizaban en WinsockLSP. Algunos servidores a los que se conectaba eran: mxs.mail.ru; host229.ipowerb.com; smart2.russianpost.ru; mail1.elko.ru.



Le envio el último log de HijackThis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 03:26:08 a.m., on 10/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\WINDOWS\sttray.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\STacSV.exe

D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\ARCHIV~1\SCROLL~1\MouseElf.EXE

D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe

C:\Archivos de programa\Softwin\BitDefender8\bdnagent.exe

C:\WINDOWS\system32\ctfmon.exe

E:\Equipment\Programs\Microsoft Student\Microsoft Student con Encarta Premium 2007 DVD\EDICT.EXE

C:\Archivos de programa\UPHClean\uphclean.exe

C:\Archivos de programa\Microsoft Virtual Server\vmh.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\mqsvc.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\system32\mqtgsvc.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

D:\Equipment\Programs\MagicDisc\MagicDisc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Equipment\Programs\EssNetTools3\Ent.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

F:\temp\Ks\HiJackThis_v2.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - D:\Equipment\Programs\Power Translator 10\Applications\LEC IE Translation Extension.dll

O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [Adobe Version Cue CS2] "D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\SCROLL~1\MouseElf.EXE

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [THEHACKERCONSOLA] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE

O4 - HKLM\..\Run: [BDNewsAgent] "C:\Archivos de programa\Softwin\BitDefender8\bdnagent.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Archivos de programa\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Archivos de programa\Corel\Graphics10\Register\NavLoad.ini"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\RunServices: [T_H_S_M] C:\ARCHIV~1\THEHAC~1\THSM.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [L07EXLRD_6977078] "E:\Equipment\Programs\Microsoft Student\Microsoft Student con Encarta Premium 2007 DVD\EDICT.EXE" -m

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MagicDisc.lnk = D:\Equipment\Programs\MagicDisc\MagicDisc.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart17.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Convertir a PDF de Adobe - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://D:\Equipment\Programs\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download with GetRight - D:\Equipment\Programs\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - D:\Equipment\Programs\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181173280500

O16 - DPF: {7C896371-4B7F-4B34-95B1-24851F5DED24} (Microsoft Virtual Server VMRC Control) - http://kitten/VirtualServer/activex/VMRCActiveXClient.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - file://H:\psdk2003\controls\sdkinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{15903F13-F2E8-4D99-8657-00528036CFBF}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS1\Services\Tcpip\..\{15903F13-F2E8-4D99-8657-00528036CFBF}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS2\Services\Tcpip\..\{15903F13-F2E8-4D99-8657-00528036CFBF}: NameServer = 200.48.225.130,200.48.225.146

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - D:\Equipment\Programs\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administración de IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe

O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Archivos de programa\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe (file missing)

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - D:\Equipment\Programs\Power Translator 10\LogoMedia TranslateDotNet Server.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\archivos de programa\mcafee.com\agent\mcdetect.exe (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe (file missing)

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe (file missing)

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Publicación en FTP (MSFtpsvc) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Protocolo simple de transferencia de correo (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe

O23 - Service: Servicio SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: The Hacker Antivirus (The_Hacker_Antivirus) - Hacksoft s.r.l. - C:\ARCHIV~1\THEHAC~1\THD32.EXE

O23 - Service: The Hacker Service Manager (T_H_S_M) - Hacksoft - C:\ARCHIV~1\THEHAC~1\THSM.EXE

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Publicación en World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

O24 - Desktop Component 0: (no name) - C:\Documents and Settings\Kitten main\Mis documentos\Splendido.png

O24 - Desktop Component 1: (no name) - C:\Documents and Settings\Kitten main\Mis documentos\Splendido.gif



--

End of file - 14718 bytes







Gracias por toda esa molestia, gracias.

[lucl]

Pues accede a ellos y enviaselos para que te los analicen, dado que no he encontrado ninguna informacion relativa a ellos :?:



QSJMAGOZA.DLL y VEFURYPLKIYSM.DLL





sigue este metodo que se te indica aqui en este enlace



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos

[kitten]

Es que no aparecen, cuando esta activa la conexión masiva, están allí (en el log) pero en la carpeta nada.



Mande NANOSCAN de panda y encontró Downloader.MDW y Totour.exe como virus, supuestamente los eliminó, pero al reiniciar seguían allí.

Les mando a Downloader.MDW (cp1041.nls) que no se puede borrar; Totour.exe no se puede copiar.



Gracias.

[msc hotline sat]

ANTES QUE NADA, hay claves de AVG, de Bit defender, de McAfee ... Solo debe haber un antivirus residente para evitar colisiones y ralentizacion, desinstale los otros dos !





Mire de localizar este que se esconde, arrancando en modo seguro, y si ni asi, configure windows para ver ficheros ocultos:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





pero podría ser que est ya hubiera sido eliminado por Panda, especialmente si ya no lo detecta



Ahora que este otro que nos envia, se las trae !:


[quote="Panda"]



Downloader.MDWPeligrosidad:

Daño:

Propagación:



Nombre común: Downloader.MDW



Nombre técnico: Trj/Downloader.MDW



Peligrosidad: Media



Tipo: Troyano



Efectos: Permite llevar a cabo intrusiones contra el ordenador afectado. Provoca una gran actividad en el tráfico de red, con la consiguiente degradación del ancho de banda de la red. Realiza acciones que conducen a un decremento en el nivel de seguridad del ordenador. Emplea técnicas de antimonitorización, con objeto de dificultar su análisis por parte de compañías antivirus. Se propaga , a través de Internet.





Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95





Fecha de detección: 02/01/2007



Detección actualizada: 27/02/2007



¿Está en circulación? Si



Protección proactiva: Sí, mediante las Tecnologías TruPrevent







Descripción Breve



Downloader.MDW es un troyano que, llegando al ordenador bajo una apariencia inofensiva, permite en realidad llevar a cabo intrusiones y ataques.







En la red local: provoca una gran actividad en el tráfico de red y la degradación de su ancho de banda.





Reduce el nivel de seguridad del ordenador: notifica al usuario atacante que el ordenador ha sido comprometido y está listo para ser utilizado maliciosamente; modifica los permisos del sistema, reduciendo la seguridad.







Emplea diversas técnicas con objeto de dificultar su análisis por parte de compañías antivirus:



Finaliza su propia ejecución si detecta que está siendo ejecutado en un entorno de máquina virtual, como por ejemplo VMWare o VirtualPC.





Downloader.MDW utiliza los siguientes métodos de propagación o distribución:



Explotación de vulnerabilidades con intervención del usuario: aprovecha vulnerabilidades en formatos de archivo o aplicaciones. Para explotarlas con éxito, necesita de la intervención del usuario: apertura de archivos, visita a páginas web maliciosas, lectura de mensajes de correo, etc.

A través de Internet, explotando vulnerabilidades remotas: ataca direcciones IP aleatorias, en las que intenta introducir una copia de sí mismo mediante la explotación de una o varias vulnerabilidades.

Es soltado o descargado en el ordenador por otros ejemplares de malware, como por ejemplo: Downloader.MLA, Downloader.MUF.


[/quote]

y apesar de que ya hizo algo al respecto, vuelva a lanzar el LPSFIX para las O10... que le queda una.





saludos



ms, 10-06-2007