No puedo reiniciar el ordenador

[estelavc]

Hola, soy nueva en el foro.

Acabo de comprar un ordenador y, después de haber instalado y configurado todo, en un reinicio me pasa lo siguiente:

-Parece que va a iniciar pero aparece una pàgina en color cyan con un texto en azul que dice: AH AH AH YOU DIDN'T SAY THE MAGIC WORD: -->

- Después aparece una pantalla en rojo, con un texto que dice: Samael has come. This the end.

Y realmente es el final. No he podido hacer nada más.

Tengo Panda como antivirus; no ha detectado nada.

He puesto el CD de recuperación y me he puesto a instalar de nuevo. Después de haber instalado algunos programas (antivirus y firewall incluidos), me ha vuelto a pasar.

¿Es posible la recuperación hecha con "Acronis True Image", no lo haya dejado limpio?

Gracias por vuestra ayuda.

[lucl]

Mira de iniciar arrancando en modo seguro, si lo consigues instalate un firewall. Por ejemplo el zonealarm y con esto impediremos que sea lo que sea se conecte a tu pc y trabajaremos desde ahi porque parece algo nuevo y muy agresivo. Te dejo links de descarga y nos comentas saludos



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp







http://www.zonavirus.com/datos/descargas/239/zonealarm.asp

[estelavc]

Gracias por tu respuesta.

Como indico en mi post, el firewall ya estaba instalado, precisamente Zone Alarm. El problema es que no da opción a iniciar en ningún modo; no llega a este punto de inicio. Antes ya sale esta pantalla.

Ahora he reinstalado de nuevo y lo primero que voy a hacer es instalar el antivirus y pasarlo a toto el PC, después reiniciar y a ver qué pasa...

[lucl]

Cierto perdona que no me fijara bien. Pues ya sabes que precisamente el firewall no tendria que dejarle pasar si lo tienes configurado para que te pregunte cada vez que algo quiera conectarse. Es un engorro pero es lo mejor en estos casos. Dinos que tienes si xp o vista. Y si lo tienes totalmente actualizado, saludos





y prueba estos dos antitrojanos y nos pegas el log que te dejaran en C infosat.txt saludos





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[estelavc]

Hola.

He estado fuera y no he mirado el foro.

Finalmente, lleve el portátil al "médico" y está desinfectado. La persona que lo limpió me dijo que hiciera lo siguiente:

- Arrancar desde el CD de Windows XP y escoger la opción de reparar la instalación.

- Copiar el archivo ntldr del directorio i386 del CD a C:

- Eliminar C:\autorun.inf y C:\windows\cftmon.exe

En casa tenía 2 ordenadores más infectados. Como no pude iniciar desde el CD, cambié la fecha de los ordenadores en las BIOS (año 2008), con lo que arrancaron sin problemas. Copié el archivo ntldr a C: pero no borré los otros dos ya que no estaban. Puse la fecha de nuevo a 2009 y ya arrancaron sin problemas.

De todas formas, no sé qué archivo está infectado con lo cual puede volver a pasar.

El Panda actualizado no detecta nada.

Saludos

[lucl]

La parte en la que dices eliminar.... si nos los hubieras enviado los habriamos analizado y asi hariamos limpieza en el pc. Tenlo en cuenta para otra vez si es que se repite, abres post nos los envias y te damos la herramienta necesaria para eliminarlo del todo de tu pc, saludos

[estelavc]

Como decía en mi post, no eliminé nada porque no estaban dichos ficheros.

En uno de los ordenadores se repitió anoche; no he podido mirarlo. Ahora me tengo que ir al trabajo.

Después postearé el suceso.

Saludos

[msc hotline sat]

Para quien le pudiera interesar, la descripcion del malware en cuestion y la solucion está detallada en:



http://www.bluetack.co.uk/forums/index.php?act=Print&client=printer&f=239&t=18662



saludos



ms, 8-1-2009







Si dices que no has borrado nada, envianos estos ficheros para analizar:

[b][i]C:\WINDOWS\svchost.exe , C:\WINDOWS\cftmon.exe , C:\WINDOWS\diskxp.ini[/i][/b]e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



ms.

[estelavc]

Hola.

A ver si consigo ser clara e inteligible. Voy a intentar resumir los sucesos paso a paso.



[u]ORDENADOR 1[/u]

- Panda conecta automáticamente y se actualiza.

- Panda detecta:
[list]

- Virus detectado: W32/Samal.A

- Achivos movidos a cuarentena:

[/list]
[list]

C:\Windows\inf\csrss.exe

C:\Windows\smms.exe

C:\Windows\inf\diskini.xp

[/list]
- Panda no puede mover un archivo a cuarentena a menos que se reinicie. Da opción a reiniciar más tarde. Se reinicia más tarde.

- El ordenador no arranca. Sale la [url=http://personal.iddeo.es/estelavc/Temavirus/Blava.jpg]pantalla azul[/url] y después [url=http://personal.iddeo.es/estelavc/Temavirus/Vermella.jpg]la roja[/url].

- Cambio la fecha en las BIOS, reinicio y lo dejo. Durante el día de hoy se ha trabajado en él.

- Panda conecta automáticamente y se actualiza.

- Panda da un aviso de que hay archivos en cuarentena que se pueden restaurar.

- No restauro nada.

- Ésta es [url=http://personal.iddeo.es/estelavc/Temavirus/imatge%2003.jpg]la lista de cuarentena de Panda[/url] en estos momentos.

- He buscado el archivo csrss.exe y lo he encontrado en:
[list]

- C:\Windows\system32

- C:\Windows\ServicePackFiles\i386

[/list]
¿Son buenos?

- El que ha encontrado Panda en C:\Windows\inf ya no estaba; está en la cuarentena.



- Según como no me deja activar la protección permanente de Panda. Ahora sí está activada. ¿?¿?





[u]ORDENADOR 2[/u] (desinfectado por un “profesional”, pagando)

- Panda conecta automáticamente y se actualiza.

- Panda detecta:
[list]

- Virus detectado: W32/Samal.A

- Achivos movidos a cuarentena:

[/list]
[list]

C:\Windows\inf\csrss.exe

C:\Windows\smms.exe

C:\Windows\inf\pav17.tmp

C:\ Windows\smms.bat

F:\autorun.inf (desinfectado) – F: = disco externo

[/list]
- Panda no puede mover un archivo a cuarentena a menos que se reinicie.

- Cambio la fecha y reinicio.

- Una vez entrado en sesión sale esta [url=http://personal.iddeo.es/estelavc/Temavirus/imatge%2001.jpg]ventana[/url].

- Ante la duda de si clicar en 'Aceptar' o cerrar por la cruz, miro en los procesos para ver si lo identifico y pararlo por el administrador de tareas. No lo encuentro. Cierro por la cruz.

- En los procesos encuentro [url=http://personal.iddeo.es/estelavc/Temavirus/imatge%2002.jpg]esto[/url].

- No hago nada al respecto.

- Ésta es [url=http://personal.iddeo.es/estelavc/Temavirus/imatge%2004.jpg]la lista de cuarentena de Panda[/url] en estos momentos.

- No me deja activar la protección permanente de Panda.



Como ha movido los archivos a la cuarentena de Panda, no os los puedo enviar. Los que sí os puedo enviar son los del mismo nombre encontrados en otra ubicación:
[list]

- C:\Windows\system32\csrss.exe

- C:\Windows\ServicePackFiles\i386\csrss.exe

[/list]
ya me diréis si los queréis.



Los ficheros que me indicas en tu post para que te envíe (C:\WINDOWS\svchost.exe , C:\WINDOWS\cftmon.exe , C:\WINDOWS\diskxp.ini) no los tengo.



Saludos. Dulces sueños.

:wink:

[msc hotline sat]

Pues sin muestras nada podemos analizar, pero ya indicamos el link con la descripcion y solucion al, problema. SI hubieras tenido los ficheros en cuestion , hubieramos implementado su control y eliminacion en nuestras utilidades, pero si ya se han eliminado, esperemos que hayan hecho una desinfeccion completa y restaurado las claves modificadas.



Si notaras alguna anomalia, o si dudas sobre algun fichero sospechoso, lanza este AV ONLINE y posteanos el informe resultante:





AV ONLINE:

==========



http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 9-1-2009

[estelavc]

Gracias.

Con los archivos que Panda indica que se pueden restaurar, qué hago? ¿Los restauro?

Y con los que dice de enviar a Panda, los envío?



[u]edito[/u]

Ahora he visto tu post entero; antes estaba a medias.

Esta tarde lo probaré y posteo resultado.

Saludos.

[msc hotline sat]

Posiblemente estaba a medio hacer... por ello lo viste a medias :wink:



Pues veo que ya lo tienes claro tras leerlo todo :mrgreen: , cuando hayas pasado el ONLINE nos posteas el informe resultante, y con un poco se suerte, podras olvidar este mal sueño !



saludos



ms, 9-1-2009

[estelavc]

Aparte de pasar el ONLINE...


[quote="estelavc"]... Con los archivos que Panda indica que se pueden restaurar, qué hago? ¿Los restauro?

Y con los que dice de enviar a Panda, los envío?

Saludos.[/quote]

[msc hotline sat]

No sé lo que hará Panda al respecto. Nosotros nos basamos en nuestras utilidades, que al hacerlas sabemos lo que hacemos, pero lo que hagan otros como Panda, ellos sabrán.



Y MAS CON UN virus que no hemos monitorizado al no tener muestras...



Lanza el AV ONLINE indicado y posteanos el informe resultante, y dinos si persiste alguna anomalia, gracias



saludos



ms, 9-1-2009

[estelavc]

Acabo de enviar el report del análisis ONLINE del ordenador 2.

Para poderlo enviar con contraseña lo he tenido que comprimir en winrar; no tengo winzip y ahora no puedo descargarlo.

Si lo necesitas en zip, ya lo descargaré con tiempo y te lo pasaré.

Saludos.

[msc hotline sat]

Los informes no se deben por mail, sino postearlos en el foro:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



solo las muestras se envian con password anexadas a un mail, o ya mejor a traves del boton ENVIAR de la parte superior derecha de este foro.



saludos



ms, 9-1-2008

[estelavc]

Acabo de enviar el del otro ordenador.

[lucl]

Pues ya el lunes te diran algo respecto del envio saludos

[msc hotline sat]

Si son muestras si, pero si son los informes, debes postearlo en el foro, con un copiar y pegar del contenido de c:\infosat.txt, como ya te hemos indicado antes:


[quote="msc"]Los informes no se deben por mail, sino postearlos en el foro:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



solo las muestras se envian con password anexadas a un mail, o ya mejor a traves del boton ENVIAR de la parte superior derecha de este foro.



saludos



ms, 9-1-2008[/quote]

si son informes como parece, pegalos en tu proximo post de respuesta a este Tema



saludos



ms, 10-1-2009

[estelavc]

Perdón, me fijé mal en el procedimiento.

[u]ORDENADOR 1[/u]

KASPERSKY ONLINE SCANNER 7 REPORT

Friday, January 9, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Friday, January 09, 2009 16:43:32

Records in database: 1594426



Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes



Scan area My Computer

C:\

D:\



Scan statistics

Files scanned 64423

Threat name 1

Infected objects 1

Suspicious objects 0

Duration of the scan 01:08:29



File name Threat name Threats count

C:\Documents and Settings\joan\Mis documentos\Conya\earthquake.exe Infected: Hoax.Win16.BadJoke.Aloap 1



The selected area was scanned.

----------------------------------------------------------------------------------------------------------------------------------------------------

[u]ORDENADOR 2[/u]

KASPERSKY ONLINE SCANNER 7 REPORT

Friday, January 9, 2009

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Friday, January 09, 2009 14:01:21

Records in database: 1593881



Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes



Scan area My Computer

C:\

D:\



Scan statistics

Files scanned 61511

Threat name 1

Infected objects 6

Suspicious objects 0

Duration of the scan 01:36:38



File name Threat name Threats count

C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe/C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1



C:\Archivos de programa\RealVNC\VNC4\wm_hooks.dll/C:\Archivos de programa\RealVNC\VNC4\wm_hooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1



C:\Archivos de programa\RealVNC\VNC4\vncconfig.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1



C:\Archivos de programa\RealVNC\VNC4\vncviewer.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1



C:\Archivos de programa\RealVNC\VNC4\winvnc4.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1



C:\Archivos de programa\RealVNC\VNC4\wm_hooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1



The selected area was scanned.

[msc hotline sat]

Pues envianos dichos ficheros para analizar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



m,s, 11-1-2009

[msc hotline sat]

En revisio al respecto vemos que antes que estos hay uno que nos habia pasado por alto:



[b][i]C:\Documents and Settings\joan\Mis documentos\Conya\earthquake.exe[/i][/b]



envianoslo para analizar, gracias



saludos



ms, 12-1-2009

[estelavc]

Tengo un archivo zip para enviaros, pero aunque le pongo la contraseña al crearlo, al abrirlo no la pide. ¿Alguna pista? ¿Os lo envío así?

[msc hotline sat]

Mira como lo explica flacoroo:



https://foros.zonavirus.com/viewtopic.php?f=5&t=24875



saludos



ms, 13-1-2009

[estelavc]

Parece que que no sé explicarme.

El archivo zip ya lo he creado y con la contraseña. Solo que cuando intento abrirlo no me pide la contraseña.

Da igual; ahora os lo envío.

Saludos.

[msc hotline sat]

Te explicas muy bien, pero era para que pudieras seguir los pasos, siempre cabe olvidarse de alguno...



No nos hemos encontrado nunca que una vez empaquetados con password se desempaqueten sin pedirlo... ???



Pues a ver si llegan sin password...



saludos



ms, 13-1-2009

[msc hotline sat]

Analizados los ficheros enviados, no son propiamente viricos, aunque sí de alto riesgo, pues permiten que remotamente se controle este ordenador a traves de VNC.



Recomendamos desinstalar dicho sistema de control remoto, si bien es cosa opcional de cada usuario...



Y el unico que tiene cierta relacion con virus es un joke (broma) que no viene al caso aplicar medidas: (earthquake.exe, que simula un tembleque de pantalla))





Por ello haga lo que quiera con ellos, si quiere eliminarlos, menos riesgo de que alguiem remotamente intrusione en su ordenador, y el joke, mejor no andar con bromas que pueden tomarse en serio...



saludos



ms, 14-1-2009

[estelavc]

Gracias por el análisis.

El VNC es un programa que tengo para conectar con el ordenador del trabajo. Tengo desabilitada la conexión de fuera al mio, sólo desde el mio hacia fuera.

De todas formas, en los tres ordenadores que tengo infectados, al cabo de cierto tiempo ( no sé cuánto) de haber copiado el archivo ntdlr en C:/, éste desaparece aparentemente y vuelve a aparecer la pantalla azul antes de arrancar el ordenador.

Algo hay que hace que este archivo desaparezca o más bien se transforme y se haga invisible. Digo esto último porque cuando intento copiarlo de nuevo, dice que ya existe y me pide si deseo sobreescribirlo; le digo que si y vuelve a funcionar el arranque. Tengo habilitada la opción de ver los archivos y carpetas ocultos así es que no sé porque éste deja de verse.

Saludos.

[msc hotline sat]

Puede ser un RootKit.



Lanza el RootKit McAfee Detective y veremos si hay alguno:



http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



Tras ello posteanos el informe resultante, gracias



saludos



ms, 15-1-2009

[estelavc]

Ahí va el informe de uno de los ordenadores:



McAfee(R) Rootkit Detective 1.1 scan report

On 15-01-2009 at 21:08:28

OS-Version 5.1.2600

Service Pack 2.0

====================================



Object-Type: SSDT-hook

Object-Name: ZwConnectPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwDeleteKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwDeleteValueKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwLoadKey2

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwReplaceKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwRestoreKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwSecureConnectPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CLEANUP

Object-Path: \SystemRoot\System32\vsdatant.sys



Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path: \SystemRoot\System32\vsdatant.sys



Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_DEVICE_CONTROL

Object-Path: \SystemRoot\System32\vsdatant.sys



Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CLOSE

Object-Path: \SystemRoot\System32\vsdatant.sys



Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CREATE

Object-Path: \SystemRoot\System32\vsdatant.sys



Object-Type: Process

Object-Name: jusched.exe

Pid: 588

Object-Path: C:\Archivos de programa\Java\jre6\bin\jusched.exe

Status: Visible



Object-Type: Process

Object-Name: OUTLOOK.EXE

Pid: 4060

Object-Path: C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: APVXDWIN.EXE

Pid: 404

Object-Path: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 808

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Object-Type: Process

Object-Name: rapimgr.exe

Pid: 932

Object-Path: C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

Status: Visible



Object-Type: Process

Object-Name: MPAPI3s.exe

Pid: 2948

Object-Path: C:\Archivos de programa\Archivos comunes\Nokia\MPAPI\MPAPI3s.exe

Status: Visible



Object-Type: Process

Object-Name: WLLoginProxy.ex

Pid: 2328

Object-Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

Status: Visible



Object-Type: Process

Object-Name: IPSecMon.exe

Pid: 624

Object-Path: C:\Archivos de programa\WatchGuard\Mobile User VPN\IPSecMon.exe

Status: Visible



Object-Type: Process

Object-Name: jqs.exe

Pid: 748

Object-Path: C:\Archivos de programa\Java\jre6\bin\jqs.exe

Status: Visible



Object-Type: Process

Object-Name: NclIrSrv.exe

Pid: 3972

Object-Path: C:\Archivos de programa\PC Connectivity Solution\Transports\NclIrSrv.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 2732

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1276

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1772

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: vsmon.exe

Pid: 1648

Object-Path: C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Status: Visible



Object-Type: Process

Object-Name: msnmsgr.exe

Pid: 2672

Object-Path: C:\ARCHIV~1\WINDOW~4\MESSEN~1\msnmsgr.exe

Status: Visible



Object-Type: Process

Object-Name: services.exe

Pid: 876

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: EPGService.exe

Pid: 504

Object-Path: C:\ARCHIV~1\WinTV\EPG Services\System\EPGService.exe

Status: Visible



Object-Type: Process

Object-Name: PCSuite.exe

Pid: 752

Object-Path: C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe

Status: Visible



Object-Type: Process

Object-Name: ATKOSD.exe

Pid: 1188

Object-Path: C:\WINDOWS\ATK0100\ATKOSD.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleUpdater.e

Pid: 3172

Object-Path: C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 724

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 228

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: M-AudioTaskBarI

Pid: 476

Object-Path: C:\WINDOWS\System32\M-AudioTaskBarIcon.exe

Status: Visible



Object-Type: Process

Object-Name: IreIKE.exe

Pid: 1500

Object-Path: C:\Archivos de programa\WatchGuard\Mobile User VPN\IreIKE.exe

Status: Visible



Object-Type: Process

Object-Name: wcescomm.exe

Pid: 664

Object-Path: C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1068

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: Pavsrv51.exe

Pid: 1472

Object-Path: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

Status: Visible



Object-Type: Process

Object-Name: wmiapsrv.exe

Pid: 2496

Object-Path: C:\WINDOWS\System32\wbem\wmiapsrv.exe

Status: Visible



Object-Type: Process

Object-Name: winvnc4.exe

Pid: 1940

Object-Path: C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1228

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: PcSync2.exe

Pid: 112

Object-Path: C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSync2.exe

Status: Visible



Object-Type: Process

Object-Name: Avengine.exe

Pid: 1848

Object-Path: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 888

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1136

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 3616

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 1912

Object-Path: C:\Documents and Settings\estela\Escritorio\McafeeRootkitDetective\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1416

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: Hcontrol.exe

Pid: 332

Object-Path: C:\WINDOWS\ATK0100\Hcontrol.exe

Status: Visible



Object-Type: Process

Object-Name: MSOFFICE.EXE

Pid: 1076

Object-Path: C:\Archivos de programa\Microsoft Office\Office10\msoffice.exe

Status: Visible



Object-Type: Process

Object-Name: Pavproxy.exe

Pid: 2192

Object-Path: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

Status: Visible



Object-Type: Process

Object-Name: EPGClient.exe

Pid: 520

Object-Path: C:\ARCHIV~1\WinTV\EPG Services\System\EPGClient.exe

Status: Visible



Object-Type: Process

Object-Name: usnsvc.exe

Pid: 1264

Object-Path: C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

Status: Visible



Object-Type: Process

Object-Name: zlclient.exe

Pid: 428

Object-Path: C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

Status: Visible



Object-Type: Process

Object-Name: wuauclt.exe

Pid: 676

Object-Path: C:\WINDOWS\system32\wuauclt.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 832

Object-Path: C:\WINDOWS\SYSTEM32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: MDM.EXE

Pid: 1452

Object-Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 616

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleUpdaterSe

Pid: 556

Object-Path: C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

Status: Visible



Object-Type: Process

Object-Name: SafeCfg.exe

Pid: 804

Object-Path: C:\Archivos de programa\WatchGuard\Mobile User VPN\SafeCfg.exe

Status: Visible



Object-Type: Process

Object-Name: ServiceLayer.ex

Pid: 3532

Object-Path: C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

Status: Visible



Scan complete. No hidden processes/files found.

Total files scanned: 68217

McAfee(R) Rootkit Detective 1.1 scan report

On 15-01-2009 at 21:34:08

OS-Version 5.1.2600

Service Pack 2.0

====================================



Object-Type: SSDT-hook

Object-Name: ZwConnectPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwDeleteKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwDeleteValueKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwLoadKey2

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwReplaceKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwRestoreKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwSecureConnectPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys



Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CLEANUP

Object-Path: \SystemRoot\System32\vsdatant.sys



Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path: \SystemRoot\System32\vsdatant.sys



Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_DEVICE_CONTROL

Object-Path: \SystemRoot\System32\vsdatant.sys



Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CLOSE

Object-Path: \SystemRoot\System32\vsdatant.sys



Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CREATE

Object-Path: \SystemRoot\System32\vsdatant.sys



Object-Type: Process

Object-Name: jusched.exe

Pid: 588

Object-Path: C:\Archivos de programa\Java\jre6\bin\jusched.exe

Status: Visible



Object-Type: Process

Object-Name: OUTLOOK.EXE

Pid: 4060

Object-Path: C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: APVXDWIN.EXE

Pid: 404

Object-Path: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

Status: Visible



Object-Type: Process

Object-Name: rapimgr.exe

Pid: 932

Object-Path: C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 808

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Object-Type: Process

Object-Name: MPAPI3s.exe

Pid: 2948

Object-Path: C:\Archivos de programa\Archivos comunes\Nokia\MPAPI\MPAPI3s.exe

Status: Visible



Object-Type: Process

Object-Name: WLLoginProxy.ex

Pid: 2328

Object-Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

Status: Visible



Object-Type: Process

Object-Name: IPSecMon.exe

Pid: 624

Object-Path: C:\Archivos de programa\WatchGuard\Mobile User VPN\IPSecMon.exe

Status: Visible



Object-Type: Process

Object-Name: jqs.exe

Pid: 748

Object-Path: C:\Archivos de programa\Java\jre6\bin\jqs.exe

Status: Visible



Object-Type: Process

Object-Name: NclIrSrv.exe

Pid: 3972

Object-Path: C:\Archivos de programa\PC Connectivity Solution\Transports\NclIrSrv.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 2732

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: vsmon.exe

Pid: 1648

Object-Path: C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1276

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1772

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: msnmsgr.exe

Pid: 2672

Object-Path: C:\ARCHIV~1\WINDOW~4\MESSEN~1\msnmsgr.exe

Status: Visible



Object-Type: Process

Object-Name: EPGService.exe

Pid: 504

Object-Path: C:\ARCHIV~1\WinTV\EPG Services\System\EPGService.exe

Status: Visible



Object-Type: Process

Object-Name: PCSuite.exe

Pid: 752

Object-Path: C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe

Status: Visible



Object-Type: Process

Object-Name: services.exe

Pid: 876

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: ATKOSD.exe

Pid: 1188

Object-Path: C:\WINDOWS\ATK0100\ATKOSD.exe

Status: Visible



Object-Type: Process

Object-Name: M-AudioTaskBarI

Pid: 476

Object-Path: C:\WINDOWS\System32\M-AudioTaskBarIcon.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 724

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 228

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: IreIKE.exe

Pid: 1500

Object-Path: C:\Archivos de programa\WatchGuard\Mobile User VPN\IreIKE.exe

Status: Visible



Object-Type: Process

Object-Name: wcescomm.exe

Pid: 664

Object-Path: C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1068

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: Pavsrv51.exe

Pid: 1472

Object-Path: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

Status: Visible



Object-Type: Process

Object-Name: wmiapsrv.exe

Pid: 2496

Object-Path: C:\WINDOWS\System32\wbem\wmiapsrv.exe

Status: Visible



Object-Type: Process

Object-Name: winvnc4.exe

Pid: 1940

Object-Path: C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

Status: Visible



Object-Type: Process

Object-Name: PcSync2.exe

Pid: 112

Object-Path: C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSync2.exe

Status: Visible



Object-Type: Process

Object-Name: Avengine.exe

Pid: 1848

Object-Path: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1228

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 3616

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 888

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1136

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 1912

Object-Path: C:\Documents and Settings\estela\Escritorio\McafeeRootkitDetective\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1416

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: MSOFFICE.EXE

Pid: 1076

Object-Path: C:\Archivos de programa\Microsoft Office\Office10\msoffice.exe

Status: Visible



Object-Type: Process

Object-Name: Pavproxy.exe

Pid: 2192

Object-Path: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

Status: Visible



Object-Type: Process

Object-Name: Hcontrol.exe

Pid: 332

Object-Path: C:\WINDOWS\ATK0100\Hcontrol.exe

Status: Visible



Object-Type: Process

Object-Name: EPGClient.exe

Pid: 520

Object-Path: C:\ARCHIV~1\WinTV\EPG Services\System\EPGClient.exe

Status: Visible



Object-Type: Process

Object-Name: usnsvc.exe

Pid: 1264

Object-Path: C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

Status: Visible



Object-Type: Process

Object-Name: zlclient.exe

Pid: 428

Object-Path: C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

Status: Visible



Object-Type: Process

Object-Name: wuauclt.exe

Pid: 676

Object-Path: C:\WINDOWS\system32\wuauclt.exe

Status: Visible



Object-Type: Process

Object-Name: MDM.EXE

Pid: 1452

Object-Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 832

Object-Path: C:\WINDOWS\SYSTEM32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 616

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleUpdaterSe

Pid: 556

Object-Path: C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

Status: Visible



Object-Type: Process

Object-Name: SafeCfg.exe

Pid: 804

Object-Path: C:\Archivos de programa\WatchGuard\Mobile User VPN\SafeCfg.exe

Status: Visible



Object-Type: Process

Object-Name: ServiceLayer.ex

Pid: 3532

Object-Path: C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

Status: Visible



Scan complete. No hidden processes/files found.

Total files scanned: 68246



Saludos.