Firefox no para de abrir la pagina 70.38.98.32

[depeche1975]

Buenas, vuelvo despues de un tiempo a tener un problema que no consigo solucionar.

El navegador no me para de abrir la siguiente pagina cada 2X3.

Lo he chequeado de todas maneras pero no detecto nada.



http://70.38.98.32/red.php?lid=firefox+no+para+de+abir+paginas&br=firefox&url=www.google.es%2Fsearch%3Fhl%3Des%26client%3Dfirefox-a%26rls%3Dorg.mozilla%3Aes-ES%3Aofficial%26q%3Dfirefox+no+para+de+abir+paginas%26btnG%3DBuscar%26meta%3D&z=ES&affid=154896&ver=112&shows=0&click1=1024&click2=0&uqs=1024&uid=BAD6F0AAA8AF11DDAD7D154896CFFFFF&guid=3048D57D631F41C6A0ED949737325F64&jguid=&cmp=superjuan&rid=gam&xp=1



The page you are looking for is temporarily unavailable.

Please try again later.



Gracias por su ayuda.

[flacoroo]

no damos soporte para firefox y vista, pero puedes hacer lo siguiente....



bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt (si no puedes ejecutarlos en forma normal hazlo reiniciando tu compu en modo seguro)



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url] (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[msc hotline sat]

Y pruebe el SPROCES y posteenos el log resultante, para tratar de eliminar la llamada a dicha web:



http://70.38.98.32/red.php?



(a titulo de informacion corresponde a:



70.38.98.32 Islas Virgenes (Virgin Islands), 18.4167 -64.6167 IISP: Web Technologies DigexOne Communications


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto. (Podria ser un acceso por intenta de descarga efectuada por algun downloader, como los VUNDO)



saludos



ms, 4-12-2008

[depeche1975]

Bueno bueno. He pasado el ELISTARA y ha encontrado de todo. El Kaspersky online y otro tanto. Luego el sproces cuyo resultado presento. Por lo que puede haber pasado, es que el antivirus estuvo 5 dias sin actualizar pq la conexión a internet iba lentisima y se paraba. Supongo que ha entrado de todo.





Thu Dec 04 20:52:16 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\CORE\SMAX4PNP.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4.EXE

C:\ARCHIVOS DE PROGRAMA\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE

C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2009\AVP.EXE

C:\ARCHIVOS DE PROGRAMA\TASKSWITCHXP\TASKSWITCHXP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS\DAEMON.EXE

C:\ARCHIVOS DE PROGRAMA\PICASA2\PICASAMEDIADETECTOR.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\SETPOINT\SETPOINT.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\WINDOWSSEARCH.EXE

C:\ARCHIVOS DE PROGRAMA\DESKTOPEARTH\DESKTOPEARTH.EXE

C:\ARCHIVOS DE PROGRAMA\MUSICMATCH\MUSICMATCH JUKEBOX\MMDIAG.EXE

C:\ARCHIVOS DE PROGRAMA\MUSICMATCH\MUSICMATCH JUKEBOX\MIM.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\WINDOWSSEARCHINDEXER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\KHAL2\KHALMNPR.EXE

C:\WINDOWS\ATKKBSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2009\AVP.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\ARCHIVOS DE PROGRAMA\UTORRENT\UTORRENT.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\VIRUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com/ig

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {4a62c0c3-1c39-46b7-87c0-f3ea411b085c} - C:\WINDOWS\system32\ibppuc.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {96E74E0B-9143-4D55-B522-35112296956A} - C:\WINDOWS\system32\qoMeBsrs.dll (file missing)

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MimBoot] C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mimboot.exe

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdyxc.exe] C:\WINDOWS\system32\kdyxc.exe

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - Startup: desktop.ini

O4 - Startup: DesktopEarth AutoStart.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Logitech SetPoint.lnk

O4 - Global Startup: Windows Desktop Search.lnk

O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Archivos de programa\PPLive\PPLive.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F31E7A70-641C-4D8D-A982-590589B7A286}: NameServer = 212.145.4.13,212.145.12.4

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\adialhk.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\kloehk.dll ibppuc.dll

O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll

ShellExecuteHooks: {96E74E0B-9143-4D55-B522-35112296956A} - - C:\WINDOWS\system32\qoMeBsrs.dll (file missing)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EIO - ASUSTeK Computer Inc. - C:\WINDOWS\system32\drivers\EIO.sys

O23 - Service: Hardlock - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys

O23 - Service: AE Audio Service (AEAudio) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ENTECH - EnTech Taiwan - C:\WINDOWS\system32\DRIVERS\ENTECH.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Kaspersky Lab KLFltDev (KLFLTDEV) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klfltdev.sys

O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys

O23 - Service: Logitech SetPoint Keyboard Driver (L8042Kbd) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042Kbd.sys

O23 - Service: SetPoint PS/2 Mouse Filter Driver (L8042mou) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042mou.Sys

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Archivos de programa\Archivos comunes\Logitech\Bluetooth\LBTServ.exe

O23 - Service: SetPoint Mouse Filter Driver (LMouKE) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LMouKE.Sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: NMSAccessU - Unknown owner - C:\Archivos de programa\Fotoprix\FotoLibro\NMSAccessU.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Sony Ericsson Device 044 Driver driver (WDM) (SE2Cbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cbus.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Modem Filter (SE2Cmdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmdfl.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Modem Driver (SE2Cmdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmdm.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Device Management Drivers (WDM) (SE2Cmgmt) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmgmt.sys

O23 - Service: Sony Ericsson Device 044 USB Ethernet Emulation SEMC44 (NDIS) (se2Cnd5) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\se2Cnd5.sys

O23 - Service: Sony Ericsson Device 044 USB WMC OBEX Interface (SE2Cobex) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cobex.sys

O23 - Service: Sony Ericsson Device 044 USB Ethernet Emulation SEMC44 (WDM) (se2Cunic) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\se2Cunic.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SenFilt Service (SenFiltService) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\Senfilt.sys

O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Archivos de programa\Archivos comunes\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



38 Servicios.

7 de Carga Automatica.

30 de Carga Manual.

1 Deshabilitados.

[depeche1975]

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\JFVDJTVS.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\KPPSLC.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\MNGDMARN.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\SSZFGH.DLL --> Eliminado, JuanSearch(BHO)



Nº Total de Directorios: 5342

Nº Total de Ficheros: 55822

Nº de Ficheros Analizados: 15507

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4





--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.112.26;85.255.112.117

No detectado SP3 de Windows XP

Detectado AUTORUN.INF en la Unidad (J)

shellexecute="resycled\boot.com j:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.





El fichero autorun.inf no lo encuentro. Lo que noto es que si voy a MI PC y clikeo la unidad J el Kaspersky no me deja.

Hmm

[msc hotline sat]

Pues vemos que te faltan parches: Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



Lanza un windowsupdate e instala el SP3 y posteriores, como el tan importante MS08-067





y envianos estos ficheros sospechosos para analizar:



C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE



C:\WINDOWS\system32\ibppuc.dll



C:\WINDOWS\system32\kdyxc.exe



C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys





y mira que no tengas este con atributo de oculto o de sistema, y nos lo envias tambien:



C:\WINDOWS\system32\qoMeBsrs.dll







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 4-11-2008

[msc hotline sat]

Y el añadido posterior no sé a quñe vuiene, no parece del mismo ordenador ???



Pero esto es de la unidad J:



Detectado AUTORUN.INF en la Unidad (J)

shellexecute="resycled\boot.com j:"





posiblemente un pendrive ???,



si localizas dicho AUTORUN.INF envianoslos junto con \resycled\boot.com



que puedes tratar de mover a C:\muestras con el ELIMOVER,





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



saludos



ms, 4-11-2008

[depeche1975]

Hola !!!



Tengo un particion. Windows y algunas programas en C: y en J: pues musica y demas.



Pero es el mismo ordenador.

[lucl]

No obstante haz lo que te pide Msc te copio





Pero esto es de la unidad J:



Detectado AUTORUN.INF en la Unidad (J)

shellexecute="resycled\boot.com j:"





posiblemente un pendrive ???,



si localizas dicho AUTORUN.INF envianoslos junto con \resycled\boot.com



que puedes tratar de mover a C:\muestras con el ELIMOVER,





LIMOVER

http://www.zonavirus.com/descargas/elimover.asp



saludos

[depeche1975]

Os he enviado los ficheros por "envio muestras".



POr cierto, el cartelito pone que vivo cerca de Vigo, pues soy de Barcelona.Algo pasa.

[lucl]

Pues eso si que es raro, porque cada cartelito es aproximado a donde vive cada forero. Y cada uno ve su ciudad obviamente. Peganos log de sprocess , saludos



http://www.zonavirus.com/descargas/sproces.asp

[lucl]

Y doy fe de que sales en Vigo Pontevedra... Saludos

[depeche1975]

Pues como no sea que el programa tenga un error de +/-1000 km algo falla.







Fri Dec 05 23:34:16 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\CORE\SMAX4PNP.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4.EXE

C:\ARCHIVOS DE PROGRAMA\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE

C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2009\AVP.EXE

C:\ARCHIVOS DE PROGRAMA\TASKSWITCHXP\TASKSWITCHXP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS\DAEMON.EXE

C:\ARCHIVOS DE PROGRAMA\PICASA2\PICASAMEDIADETECTOR.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\SETPOINT\SETPOINT.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\WINDOWSSEARCH.EXE

C:\ARCHIVOS DE PROGRAMA\MUSICMATCH\MUSICMATCH JUKEBOX\MMDIAG.EXE

C:\ARCHIVOS DE PROGRAMA\DESKTOPEARTH\DESKTOPEARTH.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\WINDOWSSEARCHINDEXER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\KHAL2\KHALMNPR.EXE

C:\ARCHIVOS DE PROGRAMA\MUSICMATCH\MUSICMATCH JUKEBOX\MIM.EXE

C:\WINDOWS\ATKKBSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2009\AVP.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS MEDIA PLAYER\WMPLAYER.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\WINDOWSSEARCHFILTER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {4a62c0c3-1c39-46b7-87c0-f3ea411b085c} - C:\WINDOWS\system32\ibppuc.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {96E74E0B-9143-4D55-B522-35112296956A} - C:\WINDOWS\system32\qoMeBsrs.dll (file missing)

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MimBoot] C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mimboot.exe

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdyxc.exe] C:\WINDOWS\system32\kdyxc.exe

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - Startup: desktop.ini

O4 - Startup: DesktopEarth AutoStart.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Logitech SetPoint.lnk

O4 - Global Startup: Windows Desktop Search.lnk

O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Archivos de programa\PPLive\PPLive.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228489759968

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F31E7A70-641C-4D8D-A982-590589B7A286}: NameServer = 212.145.4.13,212.145.12.4

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\adialhk.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\kloehk.dll ibppuc.dll

O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll

ShellExecuteHooks: {96E74E0B-9143-4D55-B522-35112296956A} - - C:\WINDOWS\system32\qoMeBsrs.dll (file missing)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EIO - ASUSTeK Computer Inc. - C:\WINDOWS\system32\drivers\EIO.sys

O23 - Service: Hardlock - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys

O23 - Service: AE Audio Service (AEAudio) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ENTECH - EnTech Taiwan - C:\WINDOWS\system32\DRIVERS\ENTECH.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Kaspersky Lab KLFltDev (KLFLTDEV) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klfltdev.sys

O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys

O23 - Service: Logitech SetPoint Keyboard Driver (L8042Kbd) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042Kbd.sys

O23 - Service: SetPoint PS/2 Mouse Filter Driver (L8042mou) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042mou.Sys

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Archivos de programa\Archivos comunes\Logitech\Bluetooth\LBTServ.exe

O23 - Service: SetPoint Mouse Filter Driver (LMouKE) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LMouKE.Sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: NMSAccessU - Unknown owner - C:\Archivos de programa\Fotoprix\FotoLibro\NMSAccessU.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Sony Ericsson Device 044 Driver driver (WDM) (SE2Cbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cbus.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Modem Filter (SE2Cmdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmdfl.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Modem Driver (SE2Cmdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmdm.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Device Management Drivers (WDM) (SE2Cmgmt) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmgmt.sys

O23 - Service: Sony Ericsson Device 044 USB Ethernet Emulation SEMC44 (NDIS) (se2Cnd5) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\se2Cnd5.sys

O23 - Service: Sony Ericsson Device 044 USB WMC OBEX Interface (SE2Cobex) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cobex.sys

O23 - Service: Sony Ericsson Device 044 USB Ethernet Emulation SEMC44 (WDM) (se2Cunic) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\se2Cunic.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SenFilt Service (SenFiltService) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\Senfilt.sys

O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Archivos de programa\Archivos comunes\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TSP - Kaspersky Lab - C:\WINDOWS\system32\drivers\klif.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



39 Servicios.

7 de Carga Automatica.

31 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues su titulo y lo indicado sobre lo que detecta la firma de lucl puede estar relacionado, ya que el ISP que se detecta en su envio figura estar ubicado en Latitud 41.3833 Longitud 2.1833 , lo cual corresponde a VIGO,



y vamos a ver a donde corresponde el que indicas en el título: 70.38.98.32



Pues esta pagina es de Islas Virgenes, al lado de Puerto Rico:



Dirección IP 70.38.98.32 Latitud 18.4167 Longitud -64.6167





Nada que ver contigo, verdad ? :wink:





Bueno, voy a analizar el log...

[msc hotline sat]

Pues este es el analisis del log:



En primer lugar vemos que te faltan parches:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



Lanza un windowsupdate e instala el SP3 y posteriores, especialmente el critico MS08-067 ...



Luego vemos residente este fichero:



C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE



que es sospechoso, envianoslo para analizar.







Tambien vemos que en el registro lanzas el siguiente sospechoso:



C:\WINDOWS\system32\ibppuc.dll







y los servidores de DNS que usas:



212.145.4.13,212.145.12.4





Aja ! de ahí puede venirte todo:









_______





ISP Comunitel Global Autonomous System

País España Código de país ES (ESP)

Ciudad Vigo Región Galicia

Dirección IP 212.145.4.13 Código postal Desconocido

Bandera Latitud 42.2333

Hora local* 06 Dec 2008 05:51 Longitud -8.7167





_______





dns-cache-vigo.ipcom.comunitel.net ISP Comunitel Global Autonomous System



Dirección IP 212.145.12.4





_______





Son los servidores DNS que te recomienda usar tu ISP ???





Desde una ventana al DOS, lanza un IPCONFIG /ALL y mira los que alli tienes configurados, a ver si son los mismos que estos que tienes en el registro:



O17 - HKLM\System\CCS\Services\Tcpip\..\{F31E7A70-641C-4D8D-A982-590589B7A286}: NameServer = 212.145.4.13,212.145.12.4



y nos lo cuentas, gracias



saludos



ms, 6-12-2008

[depeche1975]

1. Ni soy Vigués ni Virgen.



2. Service Pack 3 instalado. Y actualizaciones criticas. En el reinicio indicó que Software malintencionado había sido eliminado.



3. Llamé a Tele2 sobre el asunto de las DNS. En primer lugar no eran las que tenía puestas, que eran las de la carta que me enviaron. Las he cambiado. Pero la sorpresa es que le digo que me indican que estoy en Vigo y me dice que eso es la central, o sea, todos los de Tele2 el cartelito indica que estamos en Vigo. Es un cartelito que no da la realidad.



4. Voy a proceder al envio de ficheros sospechosos.



gracias.



CARTELITO: [b]BARCELONA[/b]

[depeche1975]

Vaya, no encuentro ni el dll ni el exe en la carpeta system32.

[msc hotline sat]

No, el .EXE no está en la carpetab de sistema, sino en:



C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE



y lo tienes seguro porque está en uso...





El otro, la DLL, solo vemos la clave que lo lanza, pero solo se supone que loo tienes, aunque pudieras haberlo borrado...



En tal caso, mejor borra la clave que te he indicado:



O2 - BHO: (no name) - {4a62c0c3-1c39-46b7-87c0-f3ea411b085c} - C:\WINDOWS\system32\ibppuc.dll







Y cuando recibamos dicha muestra, la analizaremos e implemenytaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual infromaremos



saludos



ms, 6-12-2008

[depeche1975]

Fichero POWEISO enviado. Este programa es del POWERISO. Pero lo envio por si acaso.



Como borro la linea que me indicas?

[msc hotline sat]

Sí, se indica al final de :



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Y con el HJT, arrancando en modo seguro...



y ademas renombra la extension de este fichero a .VIR, para que no pueda ser utilizado...



Si quieres adelantar informacion sobre el mismo, subelo al virustotal:



www.virustotal.com/es



y nos posteas el resultado, gracias



saludos



ms, 6-12-2008

[depeche1975]

Bueno, el ordenador ya va bien. No me abra pantallas ni nada.

Eso sí, en la actualización del windows update, la numero KB956390 no hay manera de descargarlo. Lo descargo y al momento otra vez me indica que lo descargue.



Por lo demás, viento en popa a toda vela !





EDITO: La clave indicada ha desaparecido. Me imagino que el antivirus lo habrá eliminado pq ya no sale en el Hijack.

POdemos dar por finalizado o envio un ultimo log de algo?



Gracias.

[lucl]

Veras como enviaste una muestra conviene esperar el resultado. Aunque dices que es de un programa que conoces puede resultar virica por lo que espera que el lunes te digan algo y entonces ya lo cerramos si es el caso. Saludos

[msc hotline sat]

En post anterior te decia:


[quote]Si quieres adelantar informacion sobre el mismo, subelo al virustotal:



https://www.virustotal.com/es/



y nos posteas el resultado, gracias[/quote]



Si lo has subido, posteanos el resultado y no tendremos que esperar aL martes, que el lunes es fiesta, al menos por aquí !



saludos



ms, 7-12-2008

[depeche1975]

Análisis del archivo Pwrisovm.exe recibido el 05.12.2008 11:05:34 (CET)

Estado actual: análisis terminado

Resultado: 0/38 (0.00%)

[msc hotline sat]

Pues olvida dicho fichero, simplemente era un sospechoso desconocido...



Y la instalacion del parche que se resiste, descargalo y ejecutalo:



http://www.microsoft.com/en/us/default.aspxdownloads/details.aspx?familyid=A7F0F47B-B1EE-4516-9FBF-BF8E579963D0



Y ya que lo demas está resuelto, damos el Tema por solucionado y procedenmos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 7-12-2008

[msc hotline sat]

NOTA POSTCIERRE



Recibido fichero, efectivamente no se le ven rutinas viricas.



Y el problema es la instalacion del parche KB956390, descargalo y ejecutalo:



http://www.microsoft.com/en/us/default.aspxdownloads/details.aspx?familyid=A7F0F47B-B1EE-4516-9FBF-BF8E579963D0



saludos



ms, 9-12-2008