PROBLEMA CON MENSAJE DE CIERRE DE PC (CERRADO)

[MDDO]

Me ayudais con esto, please?

Gracias de antemano

[msc hotline sat]

Pues aparte de lo que ya hizo dicha utilidad, si tras reiniciar aun persiste la anomalía, puede enviarnos los ficheros que relaciona, y los analizaremos, por si hay gato encerrado...





C:\\WINDOWS\\SOUNDMAN.EXE

éste busquelo con un Inicio -> Buscar : bthprops.cpl

C:\\Archivos de programa\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe

C:\\Archivos de programa\\SyncroSoft\\Pos\\H2O\\cledx.exe

C:\\Archivos de programa\\QuickTime\\QTTask.exe

C:\\Archivos de programa\\WIBUKEY\\H2O\\CXWibu.exe

C:\\Archivos de programa\\Java\\jre1.6.0_07\\bin\\jusched.exe

C:\\Archivos de programa\\Eset\\nod32kui.exe

C:\\Archivos de programa\\TaskSwitchXP\\TaskSwitchXP.exe

C:\\WINDOWS\\system32\\ctfmon.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Y tras analizarlas, informaremos



saludos



ms, 1 de Octubre de 2008

[MDDO]

ok,

[MDDO]

curiosamente no me encontraba los ficheros el buscador de windows, he tenido que ir a la ruta de forma manual para ir recopilando los ficheros sospechosos.. no se si esto es un dato...

[MDDO]

Otro dato más:

ahora intento reiniciar a modo prueba de fallos , tal como explicais en el foro (apagando previamente 10 segundos , etc..) , me da pantallazo azul, Y NO ME DEJA ENTRAR.

[msc hotline sat]

Muchos malwares modifican la clave del safeBOOT del registro para impedir que pueda arrancarse en modo seguro.



Incluso esta mañana hemos implementado uno mas en la nueva version del ELISTARA 17.09 QUE YA ESTÁ EN LA WEB.



SI no usas esta version, descargala y pruebala, que igual tienes el nuevo malware indicado




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

y de momento pruebala arrancando normal, claro :?



saludos



ms, 1 de octubre de 2008

[MDDO]

Este es el resultado de la busqueda con Elistara 17.09:





Wed Oct 01 16:44:21 2008

EliStartPage v17.09 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 01 16:44:28 2008

EliStartPage v17.09 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 12412

Nº Total de Ficheros: 156233

Nº de Ficheros Analizados: 41028

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues si tras ello sigues sin poder arrancar en modo seguro, descarga el SPROCES y nos posteas el comtenido de C:\sproclog.txt:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 1 de octubre de 2008

[msc hotline sat]

Y los ficheros relacionados en la utilidad que probó (que no es de este foro) no han sido detectados como virus por el VirusTotal, como maximo alguno con rutinas sospechosas, no mas:



http://www.virustotal.com/analisis/b0dba3653d0e79ca1279bbb4d0780c47 qttask



http://www.virustotal.com/analisis/4a4993ed08a4dc307f07683f00f72097 jusched



http://www.virustotal.com/analisis/d02bacd8d4f430eec68b606d95c343cf ctfmon



http://www.virustotal.com/analisis/12f5e47cb35e55d451eabf6ac0ed5af3 acrotray



http://www.virustotal.com/analisis/59dfde98db0fb81fde9f820eb5d3c6d3 TaskswitchXP



http://www.virustotal.com/analisis/17175074a4e6d6f5c4f63acdaeb4fcaa Nod32KUI



http://www.virustotal.com/analisis/311ad2058d9eb2cd71fcd3a1293dc30e CXWibu



http://www.virustotal.com/analisis/7526fc1b9208fdda2385a700fac22440 CledX





Por ello descartamos la monitorizacion de dichos ficheros.



Cuando hayas posteado el C:\sproclog.txt lo analizaremos e informaremos



saludos



ms, 1 de octubre de 2008

[msc hotline sat]

Y prueba esta noche las nueva version 5.10 del ELITRIIP. Hemos añadido cadenas que pueden controlar algo mas que tienes...



ya nos postearas el infosat.txt, gracias:




[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote]

saludos



ms, 1 de octubre de 2008

[MDDO]

Sproclog.txt:



Wed Oct 01 18:34:03 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\NVIDIA CORPORATION\NETWORKACCESSMANAGER\APACHE GROUP\APACHE2\BIN\APACHE.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\ARCHIVOS DE PROGRAMA\NVIDIA CORPORATION\NETWORKACCESSMANAGER\BIN\NSVCIP.EXE

C:\ARCHIVOS DE PROGRAMA\NVIDIA CORPORATION\NETWORKACCESSMANAGER\BIN\NSVCLOG.EXE

C:\ARCHIVOS DE PROGRAMA\NVIDIA CORPORATION\NETWORKACCESSMANAGER\APACHE GROUP\APACHE2\BIN\APACHE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\NVIDIA CORPORATION\NETWORKACCESSMANAGER\BIN\NSVCAPPFLT.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\NETGEAR\WN111\WN111.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\SKYPE\PHONE\SKYPE.EXE

C:\ARCHIVOS DE PROGRAMA\SKYPE\PLUGIN MANAGER\SKYPEPM.EXE

C:\WINDOWS\SYSTEM32\SNDVOL32.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\ZONA VIRUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TaskSwitchXP] "C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SoundMan] "C:\WINDOWS\SOUNDMAN.EXE"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - Startup: Adobe Gamma.lnk

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: NETGEAR WN111 Smart Wizard.lnk

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {48D9E4FD-2FD3-4C69-BAF3-682E9C616815} (SNAE_MSA.MSA) - http://notificaciones.administracion.es/PortalCiudadano/CABS/PaqueteSin/SNAE_MSA.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Hardlock - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: WIBU-KEY Kernel Driver (WIBUKEY) - WIBU-SYSTEMS AG - C:\WINDOWS\SYSTEM32\DRIVERS\WibuKey.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: D-Link USB Wireless Network Adapter Service (A5AGU) - D-Link Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\A5AGU.sys

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Team H2O CLEDX service (CLEDX) - Team H2O - C:\WINDOWS\SYSTEM32\DRIVERS\cledx.sys

O23 - Service: Team H2O WIBU Driver (cxwibu) - Unknown owner - C:\Archivos de programa\WIBUKEY\H2O\cxwibu.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Marvell TOPDOG 802.11n WLAN Driver for Windows XP (USB8x) (MRVW245) - Marvell Semiconductor, Inc - C:\WINDOWS\SYSTEM32\DRIVERS\MRVW245.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: Nokia USB Generic - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdc.sys

O23 - Service: Nokia USB Modem - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcm.sys

O23 - Service: Nokia USB Phone Parent - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcd.sys

O23 - Service: Nokia USB Port - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcj.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: EDIROL PCR (RDID1027) - Roland Corporation - C:\WINDOWS\SYSTEM32\Drivers\rdwm1027.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



37 Servicios.

13 de Carga Automatica.

23 de Carga Manual.

1 Deshabilitados.

[MDDO]

Log de elitriip 5.10, procedo a intentar entrar en modo seguro:



Wed Oct 01 18:27:09 2008

EliTriIP v5.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"



Wed Oct 01 18:27:13 2008

EliTriIP v5.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\SMVSS.EXE.Muestra EliTriIP v5.08 --> Eliminado, BackDoor.CMQ

C:\RECYCLER\S-1-5-21-746137067-1935655697-839522115-500\Dc15.vir --> Eliminado, BackDoor.CMQ



Nº Total de Directorios: 12412

Nº Total de Ficheros: 156410

Nº de Ficheros Analizados: 33777

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[msc hotline sat]

Pues por si fuera un virus de pendrive (usan mucho lo del RECYCLER), vacuna ordenador y pendrives con el ELIPEN.



Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Y tras reiniciar dinos si persiste alguna anomalia o podemos dar por solucionado el Tema, gracias



saludos



ms, 1 de octubre de 2008

[MDDO]

Hola , le pasé el elipen pero al reiniciar sigo sin poder entrar en el modo seguro...y tampoco me deja entrar en la pag. de kaspersky ni de otros antivirus,.

[MDDO]

Bueno se me olvidoó decir que pasé ultimo eltriip , tal como me dijeron, aunque no encontró nada sospechoso...pero curiosamente ahora se ha podido conectar a kaspersky, y en este momento se esta actualizando la base de virus (algo que no probé ayer, solo probé a entrar en modo seguro).

Parece que el elipen a funcionado, no?



Wed Oct 01 21:24:26 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Wed Oct 01 21:28:57 2008

EliTriIP v5.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Oct 01 21:28:59 2008

EliTriIP v5.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 12428

Nº Total de Ficheros: 156536

Nº de Ficheros Analizados: 33809

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 01 21:41:11 2008

EliStartPage v17.09 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 01 21:41:31 2008

EliStartPage v17.09 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 12427

Nº Total de Ficheros: 156461

Nº de Ficheros Analizados: 41051

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Claro, el elipen aunque pequeña es una buena herramienta, dinos ahora como va tu pc gracias saludos

[msc hotline sat]

Cabe recordar que nuestras utilidades ELISTARA, ELITRIIP, ELIBAGLA, etc, ademas de controlar y eliminar malwares conocidos y pedir muestras de los sospechosos, heuristicamente, tambien restauran las claves viricas que tienen contempladas en la version probada, con lo que restos viricos que pueden haber quedado tras la eliminacion de un malware, del que han borrado el fichero pero no la clave o claves modificadas, son restauradas, devolviendo la funcionalidad a aplicaciones como el REGEDIT, TASK MANAGER, ARRANQUE EN MODO SEGURO, EJECUCION DE EXTENSIONES INTERCEPTADAS, etc, por lo que aunque no indiquen haber detectado o eliminado ningun fichero, corrigen y restauran claves modificadas.



Posiblemente haya sido el caso, y ahora, tras reiniciar, y como indica lucl, indicanos si persiste alguna anomalia o podemos dar por solucionado el Tema, gracias



saludos



ms, 2 de Octubre de 2008

[MDDO]

QUE PUEDO HACER CON ESTAS INFECCIONES??

Gracias



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

jueves, 02 de octubre de 2008 15:41:33

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 2/10/2008

Registros en la base antivirus: 1145778

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

G:\

I:\



Estadísticas:

Número de objeros analizados: 209463

Virus encontrados: 5

Objetos infectados: 8 / 0

Objetos sospechosos: 2

Duración del análisis: 01:32:23



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Archivos comunes\Adobe\Adobe PCD\cache\cache.db Object is locked saltado

C:\Archivos de programa\Archivos comunes\Adobe\Adobe PCD\pcd.db Object is locked saltado

C:\Archivos de programa\Archivos comunes\Adobe\caps\caps.db Object is locked saltado

C:\Archivos de programa\eMule0.48a\Incoming\Muon.Tau Pro.VSTi DXi.v1.1-h2o.rar/Muon.Tau Pro.VSTi DXi.v1.1-h2o/h2o.exe/Win®updates.exe Infectados: Backdoor.Win32.IRCBot.gen saltado

C:\Archivos de programa\eMule0.48a\Incoming\Muon.Tau Pro.VSTi DXi.v1.1-h2o.rar/Muon.Tau Pro.VSTi DXi.v1.1-h2o/h2o.exe/4.s.4.1.n-1.1-svk1.32Kill-F.exe Infectados: Backdoor.Win32.Assasin.11 saltado

C:\Archivos de programa\eMule0.48a\Incoming\Muon.Tau Pro.VSTi DXi.v1.1-h2o.rar/Muon.Tau Pro.VSTi DXi.v1.1-h2o/h2o.exe Infectados: Backdoor.Win32.Assasin.11 saltado

C:\Archivos de programa\eMule0.48a\Incoming\Muon.Tau Pro.VSTi DXi.v1.1-h2o.rar RAR: infectado - 3 saltado

C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\access_log Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error.log Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error_log Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\ssl_request_log Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\63UJ9075\kipnis1[1].jpg Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\63UJ9075\kipnis2[1].jpg Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\63UJ9075\kipnis6[1].jpg Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\63UJ9075\logoguardarrailes[1].png Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\BQ0PJ5OV\kipnis3[1].jpg Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\H022HTKD\kipnis7[1].jpg Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012008100220081003\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Temp\IH3496.tmp Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Temp\IH34A9.tmp Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Temp\~DFFED2.tmp Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\call256.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\callmember256.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\chat512.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\chatmember256.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\chatmsg256.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\chatmsg512.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\contactgroup256.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\dyncontent\bundle.dat Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\index2.dat Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\profile4096.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\user1024.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\user256.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\user4096.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Skype\cabessa\voicemail256.dbb Object is locked saltado

C:\Documents and Settings\Administrador\Mis documentos\Downloads\Mediafour MacDrive v7.0.10 with KeyGen.rar/Mediafour MacDrive v7.0.10 with KeyGen/macdrive_7.0.10_en_setup.exe/update.exe Infectados: Trojan-Downloader.Win32.Small.abpo saltado

C:\Documents and Settings\Administrador\Mis documentos\Downloads\Mediafour MacDrive v7.0.10 with KeyGen.rar/Mediafour MacDrive v7.0.10 with KeyGen/macdrive_7.0.10_en_setup.exe Infectados: Trojan-Downloader.Win32.Small.abpo saltado

C:\Documents and Settings\Administrador\Mis documentos\Downloads\Mediafour MacDrive v7.0.10 with KeyGen.rar RAR: infectado - 2 saltado

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WinAgentbm.zip/rar.exe Sospechosos: Password-protected-EXE saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WinAgentbm.zip ZIP: sospechoso - 1 saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{D955F23A-4789-4D47-90AA-CFE80929FD74}\RP114\A0013519.exe Infectados: Trojan.Win32.Buzus.uey saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\system32\_nvidia_xxx_.log Object is locked saltado

C:\WINDOWS\Temp\hlktmp Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



Análisis completado.

[MDDO]

reinicio e intento entrar en modo seguro?

[MDDO]

eSTO es para volverse loco: despues de escanear el pc desde kaspersky (posteado mas arriba) , he cerrado el explorer lo he vuelto a abrir y al intentar navegar se me a apagado de buenas a primeras , sin avisar de nungún error!...he vuelto ha abrirlo , y he intentado acceder al kaspersky de nuevo, y ahora vuelve a no dejarme entrar en el scanner online...No se esto es como si se volviera a a activar

[msc hotline sat]

El AV ONLINE indicado no modifica nada, solo informa, asi que nada tiene que ver con lo que luego indica.



En el inforne, vemos infectados:





C:\Archivos de programa\eMule0.48a\Incoming\Muon.Tau Pro.VSTi DXi.v1.1-h2o.rar/Muon.Tau Pro.VSTi DXi.v1.1-h2o/h2o.exe/Win®updates.exe Infectados: Backdoor.Win32.IRCBot.gen saltado

C:\Archivos de programa\eMule0.48a\Incoming\Muon.Tau Pro.VSTi DXi.v1.1-h2o.rar/Muon.Tau Pro.VSTi DXi.v1.1-h2o/h2o.exe/4.s.4.1.n-1.1-svk1.32Kill-F.exe Infectados: Backdoor.Win32.Assasin.11 saltado

C:\Archivos de programa\eMule0.48a\Incoming\Muon.Tau Pro.VSTi DXi.v1.1-h2o.rar/Muon.Tau Pro.VSTi DXi.v1.1-h2o/h2o.exe Infectados: Backdoor.Win32.Assasin.11 saltado

C:\Archivos de programa\eMule0.48a\Incoming\Muon.Tau Pro.VSTi DXi.v1.1-h2o.rar RAR: infectado - 3 saltado



C:\Documents and Settings\Administrador\Mis documentos\Downloads\Mediafour MacDrive v7.0.10 with KeyGen.rar/Mediafour MacDrive v7.0.10 with KeyGen/macdrive_7.0.10_en_setup.exe/update.exe Infectados: Trojan-Downloader.Win32.Small.abpo saltado

C:\Documents and Settings\Administrador\Mis documentos\Downloads\Mediafour MacDrive v7.0.10 with KeyGen.rar/Mediafour MacDrive v7.0.10 with KeyGen/macdrive_7.0.10_en_setup.exe Infectados: Trojan-Downloader.Win32.Small.abpo saltado

C:\Documents and Settings\Administrador\Mis documentos\Downloads\Mediafour MacDrive v7.0.10 with KeyGen.rar RAR: infectado - 2 saltado



Y este ultimo está aparcado en el RESTORE, de momento no afecta:



C:\System Volume Information\_restore{D955F23A-4789-4D47-90AA-CFE80929FD74}\RP114\A0013519.exe Infectados: Trojan.Win32.Buzus.uey saltado





Envianos estos dos ficheros RAR:



C:\Archivos de programa\eMule0.48a\Incoming\Muon.Tau Pro.VSTi DXi.v1.1-h2o.RAR

C:\Documents and Settings\Administrador\Mis documentos\Downloads\Mediafour MacDrive v7.0.10 with KeyGen.RAR



y tras analizarlos informaremos



saludos



ms, 2 de octubre de 2008

[MDDO]

Bueno pues ahora he metido yo la pata, ya que pensé que como eran archivo que no estaban instalados en windows (eran archivos instaladores) , me he asustado y los he borrado de manera irreversible del PC (no puedo recuperarlos ni con norton undelete).

perdonad

[MDDO]

Bueno pues ahora he metido yo la pata, ya que pensé que como eran archivo que no estaban instalados en windows (eran archivos instaladores) , me he asustado y los he borrado de manera irreversible del PC (no puedo recuperarlos ni con norton undelete).

perdonad

[msc hotline sat]

La pena es que no podremos monitorizarlos ni saber las claves que modificaban ni lo que hacian o dejaban de hacer, y no podremos implementar su control y eliminacion en nuestras utilidades.



Que te sirva de experiencia... (Es para lo unico que sirven los errores ! )



Y dando con ello el Tema por terminado, procedemos a cerrarlo



saludos



ms, 2 de Octubre de 2008



[img]http://img138.imageshack.us/img138/4893/closed2ur0.gif[/img]