¿Tengo un viruse, un espigüare o qué?

Responder
Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

¿Tengo un viruse, un espigüare o qué?

Mensaje por Telepi » 18 Ago 2007, 20:29

Llevo unos días que cuando uso el explorer de vez en cuando el ordenador trata de acceder a la disketera A:, el tema me tiene muy mosca.



Tengo el AD-Agüare, el KasPepsi Internete Segurity y el Norton AV en el segundo HD con el que arranco para estas cuestiones y ninguno me detecta nada



¿Alguna idea de qué puede ser?, muchas gracias. :oops:

lighu_07
Mensajes: 14
Registrado: 03 Ago 2007, 01:50
Ubicación: Catriel-Rio Negro-argentina

Mensaje por lighu_07 » 18 Ago 2007, 21:02

yo creo que debe ser un un virus pasa un antivirus online y un antispyware online y mandale los resultados a los administradores que ellos saben.
Antivirus Online: http://www.zonavirus.com/antivirus-on-line/
Antispyware Online: http://www.zonavirus.com/anti-spyware-removal/

suerte

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 18 Ago 2007, 21:16

pasate estos dos programas qu te indico y nos pegas el log que te dejaran en C infosat.txt saludos

http://www.zonavirus.com/descargas/elistara.asp
http://www.zonavirus.com/descargas/elitriip.asp

Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

Mensaje por Telepi » 18 Ago 2007, 22:01

Lo primero agradeceros vuestro tiempo.


Elistara:

Sat Aug 18 20:40:09 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Eliminados Ficheros Temporales del IE
Sat Aug 18 20:41:37 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sat Aug 18 21:39:19 2007
EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):

Sat Aug 18 21:39:59 2007
EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\



Instalo la actualización que me dice.


Elitrip:

Al ejecutar de dice:

¿Desea bloquear el intento de intrusión por el TCP445?

Respondo que sí, despues:

Sat Aug 18 21:51:44 2007
EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):

Sat Aug 18 21:51:46 2007
EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

Mensaje por Telepi » 18 Ago 2007, 22:04

Por cierto ya probé antivirus online, el panda creo y tampoco nada.

jacotasa
Mensajes: 99
Registrado: 13 Ago 2005, 04:42
Ubicación: Hermosillo, Sonora, en México
Contactar:

Mensaje por jacotasa » 18 Ago 2007, 22:59

Mira... Lo anterior debería funcionar.... solo recuerda haberlo echo en "Modo a prueba de fallos"...

De cualquier forma, si no lo hiciste en este modo, hazlo de nuevo y postea el "Contenido completo del archivo InfoSat.txt".

Además conviene que ejecutes el HJT y nos postees el LOG que te genere....

Otra recomendación es que metas un Disquete nuevo en la disquetera y verificas si se graba algún archivo... si es así lo envías a " zonavirus@satinfo.es " y como referencia pones tu Nombre de usuario en el foro. Si tienes problemas al enviar el archivo, recuerda que lo puedes encriptar (comprimido en ZIP con contraseña "virus").
Es bueno ver a un ser humano enfrentar sus problemas, pero considero mejor verlo ayudando a enfrentar los problemas a otros.

JACOTASA

Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

Mensaje por Telepi » 19 Ago 2007, 20:37

Bueno he vuelto a hacerlo todo en modo seguro y con restaurar sistema desactivado y sigo igual, he pasado el Spyboot, el Spywareblaster, el KasPepsi, AD-Aware y panda online, este me ha quitado 2 cookies. El Spyboot me ha indicado:

Microsoft.WindowsSecurityCenter.AntiVirusOverride: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

que lo ha reparado según él, el Elistart y el Elitrip me dan los dos lo mismo, nada:


Sun Aug 19 15:19:51 2007
EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Aug 19 15:19:53 2007
EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\


Estoy empezando a pensar en el "Format C:"...

EviLDruS
Mensajes: 14
Registrado: 19 Ago 2007, 21:00

Mensaje por EviLDruS » 19 Ago 2007, 21:22

HOLA...
MIRA LO QUE PUEDES HACER ES ESTO
INSTALAR EL AVG 7.5 CHEKA TU MAKINA PARA KE VEAS KE TIENE SI NO TE SIRVE PUEDES HACER LO SIG

BÁJATE EL CCLEANER Y FIXEA LOS REGISTROS

DESPUÉS DE ESO REINICIA PARA QUE VEAS QUE PASA... SI NO MEJOR DALE FORMAT O ESPERA POR UNA MEJOR RESPUESTA

KE TE SIRVA... SALUDOS

Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

Mensaje por Telepi » 20 Ago 2007, 01:07

El cliner ese es demasiado bueno, nada más ejecutarlo me intenta modificar el EXPLORER.EXE o eso es lo que me dice el KasPepsi. He mandado el Explorer.exe a virustotal online y me dice que no tiene nada, con el cliner me dice el panda on line que es suspicious file, y yo desde luego es ejecutarlo y saltar el KasPepsi.

jacotasa
Mensajes: 99
Registrado: 13 Ago 2005, 04:42
Ubicación: Hermosillo, Sonora, en México
Contactar:

Mensaje por jacotasa » 20 Ago 2007, 06:02

Ok... mira

Si no te detecta nada la artillería, es probable entonces que no tengas nada. No todo tiene que ser virus.

Puede ser una configuración de tu Antivirus el que verifique en la disquetera... ¿No será por ahí?

Lo único curioso de tu LOG del HJT es lo siguiente:
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
Y me lo reafirma:
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')Ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')Ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')Ctfmon.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Mira, Por lo general el CTFMON.EXE pertenece al Microsoft Office, pero existen varios troyanos que se copian con el mismo nombre. Como está situado en la carpeta C:\Windows\System32 dinos si tienes el Office instalado, de ser así no debes preocuparte, de lo contrario es un troyano. De todos modos para salir de dudas puedes hacer analizar el archivo en Virus Total y nos cuentas que resultó.

De todas formas, considera que pueda ser una configuración del antivirus el que revise la disquetera junto con el análisis normal.
Es bueno ver a un ser humano enfrentar sus problemas, pero considero mejor verlo ayudando a enfrentar los problemas a otros.

JACOTASA

Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

Mensaje por Telepi » 20 Ago 2007, 10:44

Está limpio y sí, tengo el office instalado.



De todas formas muchas gracias de nuevo a todos, el tema es que es muy curioso, es ejecutar el internet explorer y en cuestion de un par de minutos el ordenador accede a la disketera dos o tres veces, sólo con el internet explorer en ejecución.



En el ordenador tengo dos HD con el XP instalado y en uno de ellos sólo el XP con el norton AV para estos temas, el caso es que ocurre esactamente igual si arranco el ordenador con este otro HD. Empezaré formateando este segundo HD a ver qué tal y desconectando físicamente el otro por si las moscas.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 Ago 2007, 11:11

Diganos si es voluntaria la ejecucion de esta aplicacion, que no sabemos qué es...

C:\Archivos de programa\MiniReminder\MiniReminder.exe

ms.

Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

Mensaje por Telepi » 20 Ago 2007, 15:57

El minireminder es una pequeña utilidad para recordar cosas, citas, cumpleaños, etc.

EviLDruS
Mensajes: 14
Registrado: 19 Ago 2007, 21:00

Mensaje por EviLDruS » 20 Ago 2007, 16:09

SI EL PROBLEMA ES TU DISQUERA MEJOR ABRE TU PC Y DESCONECTALA POR UN BUEN RATO (UN DIA APROX) POR QUE AL PARECER NO ES UN VIRUS SI NO UN PROBLEMA DE HARDWARE.

O BIEN BAJATE MOZILLA FIREFOX, OPERA ETC CUALQUIER OTRO NAVEGADOR PARA VER SI EL EXPLORER ES EL PROBLEMA :)



SALÚ.....

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 Ago 2007, 19:40

Log del HJT limpio.

Mira de postearnos el SPROCLOG.TXT que te generara el SPROCES, que es mas exhaustivo, a ver si vemos algo ...

SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Y posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 20-08-2007

Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

Mensaje por Telepi » 24 Ago 2007, 01:23

No sé por qué no puedo entrar a este post desde el apartado "cuentanos tu problema", me pone esto el explorer:

phpBB : Critical Error
Could not connect to the database

Desde el enlace que puse en el post del apartado Hijackthis sí puedo entrar, ya empiezo a flipar.


Bueno, los procesos del Sproces ahí van:

Fri Aug 24 01:12:26 2007
SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE
C:\WINDOWS\MIXER.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_02\BIN\JUSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 6.0\AVP.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\MINIREMINDER\MINIREMINDER.EXE
C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 6.0\AVP.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ULEAD SYSTEMS\DVD\ULCDRSVR.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOCUMENTS AND SETTINGS\MIGUEL\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [] 
O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe
O4 - Startup: Ad-Watch 2007.lnk
O4 - Startup: desktop.ini
O4 - Startup: MiniReminder.lnk
O4 - Global Startup: desktop.ini
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-6u2-windows-i586-jc.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL (file missing)
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: AVerMedia 61051 MPEG Encoder (A88xEnc) - AVerMedia Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\A88xEnc.sys
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVerMedia MPEG Video Capture (EZMaker) (AVerTV) - AVerMedia TECHNOLOGIES, Inc. - C:\WINDOWS\SYSTEM32\drivers\A88xVCap.sys
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: AVerMedia, MPEG Crossbar (88x), Service (C182XBar) - AVerMedia TECHNOLOGIES, Inc. - C:\WINDOWS\SYSTEM32\drivers\C182XBar.sys
O23 - Service: AVerMedia MPEG Audio Capture (CX88AUD) - AVerMedia TECHNOLOGIES, Inc. - C:\WINDOWS\SYSTEM32\drivers\A88xaud.sys
O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Ad-Watch Connect Kernel Filter (Ad-Watch Connect Filter) - Lavasoft AB - C:\WINDOWS\system32\drivers\NSDriver.sys
O23 - Service: C-Media PCI Audio Driver (WDM) (cmpci) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmaudio.sys
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek  RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
O23 - Service: TSP - Kaspersky Lab - C:\WINDOWS\system32\drivers\klif.sys

Listado de Servicios (Deshabilitados):
--------------------------------------
O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)

 22 Servicios.
 10 de Carga Automatica.
 10 de Carga Manual.
  2 Deshabilitados.

Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

Mensaje por Telepi » 24 Ago 2007, 01:42

Acabo de quitar el programa flashget, a ver si esto os parece normal: enciendo el ordenata y en el firewall del kaspepsi tengo esto en tráfico:

HOST-----------DIR IP-----------RECIBIDO---------ENVIADO
ekt1dns.euskaltel.es 212.142.144.66 862 bytes 592 bytes
ekt2dns.euskaltel.es 212.142.144.98 539 bytes 260 bytes
amd.euskaltel.es 85.85.72.212 525 bytes 0 bytes
time.windows.com 207.46.130.100 90 bytes 90 bytes
eu85-85-64-251.clientes.euskaltel.es 85.85.64.251 74 bytes 0 bytes
239.255.255.250 239.255.255.250 0 bytes 700 bytes
eu85-85-64-1.clientes.euskaltel.es 85.85.64.1 60 bytes 47 bytes
IGMP.MCAST.NET 224.0.0.22 0 bytes 108 bytes

Arranco el flashget, el cual no tiene nada para descargar y me abre una conexión y varios puertos y el tráfico pasa inmediatamente a:

server3.oingo.com 72.51.37.107 211 bytes 96 bytes
ekt1dns.euskaltel.es 212.142.144.66 2.4 Kb 2 Kb
60.28.197.35 60.28.197.35 2.3 Kb 2.5 Kb
60.28.209.41 60.28.209.41 906 bytes 498 bytes
ekt2dns.euskaltel.es 212.142.144.98 6.5 Kb 3.7 Kb
62.241.53.2 62.241.53.2 150 bytes 96 bytes
62.241.53.4 62.241.53.4 226 bytes 96 bytes
80-239-200-99.customer.teliacarrier.com 80.239.200.99 0 bytes 96 bytes
80-239-200-101.customer.teliacarrier.com 80.239.200.101 176 bytes 96 bytes
80-239-200-102.customer.teliacarrier.com 80.239.200.102 176 bytes 96 bytes
80-239-200-103.customer.teliacarrier.com 80.239.200.103 176 bytes 96 bytes
80-239-200-104.customer.teliacarrier.com 80.239.200.104 176 bytes 96 bytes
80-239-200-105.customer.teliacarrier.com 80.239.200.105 176 bytes 96 bytes
80-239-200-106.customer.teliacarrier.com 80.239.200.106 176 bytes 96 bytes
80-239-200-107.customer.teliacarrier.com 80.239.200.107 176 bytes 96 bytes
80-239-200-108.customer.teliacarrier.com 80.239.200.108 199 bytes 96 bytes
62.241.53.15 62.241.53.15 150 bytes 96 bytes
80-239-200-109.customer.teliacarrier.com 80.239.200.109 178 bytes 96 bytes
62.241.53.16 62.241.53.16 150 bytes 96 bytes
80-239-200-110.customer.teliacarrier.com 80.239.200.110 200 bytes 96 bytes
62.241.53.17 62.241.53.17 150 bytes 96 bytes
80-239-200-111.customer.teliacarrier.com 80.239.200.111 197 bytes 96 bytes
59.151.31.139 59.151.31.139 446 bytes 659 bytes
222.186.190.39 222.186.190.39 0 bytes 96 bytes
72.51.37.237 72.51.37.237 0 bytes 964 bytes
66-199-250-170.reverse.ezzi.net 66.199.250.170 0 bytes 964 bytes
amd.euskaltel.es 85.85.72.212 9.3 Kb 0 bytes
219.239.90.172 219.239.90.172 0 bytes 964 bytes
time.windows.com 207.46.130.100 90 bytes 90 bytes
eu85-85-64-251.clientes.euskaltel.es 85.85.64.251 74 bytes 0 bytes
239.255.255.250 239.255.255.250 0 bytes 9.4 Kb
eu85-85-64-1.clientes.euskaltel.es 85.85.64.1 60 bytes 47 bytes
IGMP.MCAST.NET 224.0.0.22 0 bytes 108 bytes

¿Es esto normal?

Y ya despues de que el ordenata intenta acceder a la disketera, estando el internet explorer en la página de San Google me aparecen estos otros tres más, si no me equivoco entre tanto número:

10.77.224.1 10.77.224.1 353 bytes 0 bytes
172.16.8.140 172.16.8.140 126 bytes 0 bytes
ALL-ROUTERS.MCAST.NET 224.0.0.2 0 bytes 126 bytes

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 24 Ago 2007, 07:15

Pues ya que su "kaspepsi" (bonito nombre compuesto entre KAS y PEPSI :wink: ) y su "SAN GOOGLE" le presentan dichas anomalias y se le abre ademas la "disquetera" que entiendo debe ser la lectora cd CD, pues no he visto abrirse nunca una disquetera, :wink: , desinstale este flashget dichoso y confirmenos que asi no hay anomalias, para dar por solucionado el Tema

saludos
ms, 24-08-2007

Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

Mensaje por Telepi » 24 Ago 2007, 11:33

Como puse anteriormente ya está desinstalado, las anomalias con la disketera 3,1/2 creo recordar de las de 1,4Mb aquellas del siglo pasado, siguen igual (no CD), no se abre evidentemente, el ordenador accede a ella un par de veces seguidas.



Por cierto creo que hasta ahora no lo habia puesto, si arranco el ordenador con el modem desenchufado, para que el ordenador no pueda acceder a internet, no ocurren dichas anomalias con la disketera (comprobado media docena de veces). Creo que debe ser un espigüare o por lo menos tiene toda la pinta. A ver si saco tiempo y formateo de una vez. Ya os contaré.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 24 Ago 2007, 11:59

O sea que hay accesos a las disqueteras de 3 1/2 , posiblemente para copiar alli algo, pues si tiene todavía algun disquete "prehistorico", pongaselo a ver lo que copia, nos sería de gran interes poder analizarlo

Por lo que indica parece ser un intento de descarga desde alguna web, cuando hay el navegador abierto, o sea que tendremos alguna clave O2-BHO en el log del HJT que lo debe estar lanzando...

Posteenos log del HJT y lo analizaremos:

HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos
ms, 24-08-.2007

Telepi
Mensajes: 11
Registrado: 18 Ago 2007, 20:23

Mensaje por Telepi » 28 Ago 2007, 21:44

Esta ahora es nueva, el karpesky me dice ahora esto cada vez que cambio de página en el Internet explorer:

El proceso intenta modificar el valor en la clave del Registro de sistema que pertenece al grupoInternet Explorer Plugins. Estas claves controlan parámetros de los complementos de Internet Explorer.

Le recomendamos autorizar el acceso a estos valores sólo si realmente desea autorizar el registro de este módulo como complemento de Internet Explorer. En otros casos, es mejor prohibir su acceso.

Clave: HKEY_USERS\S-1-5-21-606747145-448539723-725345543-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

Valor: {0E5CBF21-D15F-11D0-8301-00AA005B4383}

Datos(Formato binario libre):
21 bf 5c 0e 5f d1 d0 11 83 01 00 aa 00 5b 43 83 22 00 1c 00 08 00 00 00 06 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4c 00 00 00 01 14 02 00 00 00 00 00 c0 00 00 00 00 00 00 46 81 00 00 00 10 00 00 00 3a 42 2d 76 1f e8 c7 01 e4 01 eb 31 87 e8 c7 01 3a 42 2d 76 1f e8 c7 01 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 51 01 14 00 1f 50 e0 4f d0 20 ea 3a 69 10 a2 d8 08 00 2b 30 30 9d 19 00 2f 43 3a 5c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 5c 00 31 00 00 00 00 00 13 37 b0 68 10 00 44 4f 43 55 4d 45 7e 31 00 00 44 00 03 00 04 00 ef be cc 36 e9 92 1b 37 72 43 14 00 00 00 44 00 6f 00 63 00 75 00 6d 00 65 00 6e 00 74 00 73 00 20 00 61 00 6e 00 64 00 20 00 53 00 65 00 74 00 74 00 69 00 6e 00 67 00 73 00 00 00 18 00 3a 00 31 00 00 00 00 00 0f 37 c6 b6 10 00 4d 69 67 75 65 6c 00 00 24 00 03 00 04 00 ef be cc 36 35 90 1b 37 46 45 14 00 00 00 4d 00 69 00 67 00 75 00 65 00 6c 00 00 00 16 00 56 00 31 00 00 00 00 00 1a 37 62 a3 11 00 46 41 56 4f 52 49 7e 31 00 00 3e 00 03 00 04 00 ef be cc 36 35 90 1b 37 31 46 14 00 28 00 46 00 61 00 76 00 6f 00 72 00 69 00 74 00 6f 00 73 00 00 00 40 73 68 65 6c 6c 33 32 2e 64 6c 6c 2c 2d 31 32 36 39 33 00 18 00 36 00 31 00 00 00 00 00 1a 37 62 a3 10 00 4c 69 6e 6b 73 00 22 00 03 00 04 00 ef be 1a 37 62 a3 1a 37 6c bd 14 00 00 00 4c 00 69 00 6e 00 6b 00 73 00 00 00 14 00 00 00 60 00 00 00 03 00 00 a0 58 00 00 00 00 00 00 00 61 6d 64 00 00 00 00 00 00 00 00 00 00 00 00 00 50 29 cf 02 44 1b 2c 4b a6 50 77 e7 f2 23 18 60 b5 c7 b4 8f 12 54 dc 11 8d 17 00 50 bf e6 89 81 50 29 cf 02 44 1b 2c 4b a6 50 77 e7 f2 23 18 60 b5 c7 b4 8f 12 54 dc 11 8d 17 00 50 bf e6 89 81 00 00 00 00

Nuevos datos(Formato binario libre):
21 bf 5c 0e 5f d1 d0 11 83 01 00 aa 00 5b 43 83 22 00 1c 00 08 00 00 00 06 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4c 00 00 00 01 14 02 00 00 00 00 00 c0 00 00 00 00 00 00 46 81 00 00 00 10 00 00 00 3a 42 2d 76 1f e8 c7 01 76 2a 31 02 65 e9 c7 01 3a 42 2d 76 1f e8 c7 01 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 51 01 14 00 1f 50 e0 4f d0 20 ea 3a 69 10 a2 d8 08 00 2b 30 30 9d 19 00 2f 43 3a 5c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 5c 00 31 00 00 00 00 00 13 37 b0 68 10 00 44 4f 43 55 4d 45 7e 31 00 00 44 00 03 00 04 00 ef be cc 36 e9 92 1c 37 9c 53 14 00 00 00 44 00 6f 00 63 00 75 00 6d 00 65 00 6e 00 74 00 73 00 20 00 61 00 6e 00 64 00 20 00 53 00 65 00 74 00 74 00 69 00 6e 00 67 00 73 00 00 00 18 00 3a 00 31 00 00 00 00 00 0f 37 c6 b6 10 00 4d 69 67 75 65 6c 00 00 24 00 03 00 04 00 ef be cc 36 35 90 1c 37 98 59 14 00 00 00 4d 00 69 00 67 00 75 00 65 00 6c 00 00 00 16 00 56 00 31 00 00 00 00 00 1b 37 d4 be 11 00 46 41 56 4f 52 49 7e 31 00 00 3e 00 03 00 04 00 ef be cc 36 35 90 1c 37 2b 5a 14 00 28 00 46 00 61 00 76 00 6f 00 72 00 69 00 74 00 6f 00 73 00 00 00 40 73 68 65 6c 6c 33 32 2e 64 6c 6c 2c 2d 31 32 36 39 33 00 18 00 36 00 31 00 00 00 00 00 1a 37 62 a3 10 00 4c 69 6e 6b 73 00 22 00 03 00 04 00 ef be 1a 37 62 a3 1b 37 c6 bb 14 00 00 00 4c 00 69 00 6e 00 6b 00 73 00 00 00 14 00 00 00 60 00 00 00 03 00 00 a0 58 00 00 00 00 00 00 00 61 6d 64 00 00 00 00 00 00 00 00 00 00 00 00 00 50 29 cf 02 44 1b 2c 4b a6 50 77 e7 f2 23 18 60 b5 c7 b4 8f 12 54 dc 11 8d 17 00 50 bf e6 89 81 50 29 cf 02 44 1b 2c 4b a6 50 77 e7 f2 23 18 60 b5 c7 b4 8f 12 54 dc 11 8d 17 00 50 bf e6 89 81 00 00 00 00

Como digo cada vez que cambio de página web y sin que el explorer me pregunte nada.

P.D. La disketera sigue igual, todavia no he formateado.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 28 Ago 2007, 21:46

Pediamos que nos posteara el log del HJT para analizarlo, no esto ...



ms.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 29 Ago 2007, 09:44

Cuando se pide un log, debe lanzarse la aplicacion correspondiente y postearlo a continuacion, no sirve de nada postear uno antiguo, ya que cada proceso cambia cosas.



Pruebe de nuevo el SPROCES y posteenos SCPROCLOG.TXT resultante actual



saludos



ms, 29-08-2007

Responder

Volver a “Foro Virus - Cuentanos tu problema”