Virus (No puedo abrir SpyBot ni Malwarebytes (TERMINADO)

[KF86]

Hola estimados, me surgio un problema. Resulta que un amigo supuestamente me habia enviado una foto por el messenger, yo le di aceptar despistadamente y era una virus. Ahora, hay algunos programas que no los puedo abrir, es decir, se abren pero se cierran instantaneamente.



Otro problema que tengo es que el cursor del mouse en algunos momentos se queda colgado y luego reacciona y cuando tengo el messenger abierto, se abre y cierra constantemente la ventana inicial de dicho programa.





Instale el SpyBot y el Malwarebyte- Antimalware, pero al instalarlos, y querer ejecutarlos no me los ejecuta, no puedo efectuar escaneo alguno con dichos anti-spyware. Lesdoy doble click para que abra el programa, pero no lo abre.



Pasé el NOD32 en todos los modos que tiene, me ha puesto en cuarentena algunos trojanos y los he eliminado de la cuarentena, pero el problema persiste.



¿Alguna solucion?...esta PC no es mia, es de mi hno y estoy bastante "cagad*".



Gracias desde yá.

[julibaga]

Pues empieza por bajar y pasarle las siguientes utilidades.

Elistara:

http://www.zonavirus.com/descargas/elistara.asp



y Elitriip:

http://www.zonavirus.com/descargas/elitriip.asp



y cuando termines copia y pega aquí el log que se generará en c:\infosat.txt para saber los resultados e infórmanos si se solucionó el problema.



Salu2

[KF86]

Ahi lo descargue, ahora los ejecutare y le informo

[KF86]

Elistara

[url=http://imageshack.us][img]http://img232.imageshack.us/img232/1/elistarlw7.jpg[/img][/url]

[url=http://g.imageshack.us/img232/elistarlw7.jpg/1/][img]http://img232.imageshack.us/img232/elistarlw7.jpg/1/w372.png[/img][/url]



Ese utlimo que muestra "ALCMTR.EXE" lo pegue en un paint porque no se podria agrandar la imagen.





Elistriip

[url=http://imageshack.us][img]http://img132.imageshack.us/img132/7498/elistiireq5.jpg[/img][/url]

[url=http://g.imageshack.us/img132/elistiireq5.jpg/1/][img]http://img132.imageshack.us/img132/elistiireq5.jpg/1/w372.png[/img][/url]

[julibaga]

Cuando le das a "salir" te crea un archivo en c:\ llamado infosat.txt

Lo abres, copias todo y lo pegas aquí.



Salu2

[KF86]

Mon Jan 19 22:11:01 2009

EliStartPage v17.82 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 19 22:11:26 2009

EliStartPage v17.82 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\MNGDRIVER.DLL --> Eliminado, ZenoSearch

C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\PC SUITE LOG.EXE --> Eliminado, YahLover(worm)

C:\Documents and Settings\Administrador\Escritorio\ESETFIX_3.2.EXE --> Eliminado, Frauder.KG

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\ReinstallBackups\0012\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 7813

Nº Total de Ficheros: 58282

Nº de Ficheros Analizados: 16163

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Mon Jan 19 22:21:45 2009

EliTriIP v5.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Servicio Eliminado "cbaunt" -> Conficker

No detectado SP3 de Windows XP



Mon Jan 19 22:22:13 2009

EliTriIP v5.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7812

Nº Total de Ficheros: 58285

Nº de Ficheros Analizados: 13504

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jan 19 22:24:13 2009

EliTriIP v5.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7812

Nº Total de Ficheros: 58285

Nº de Ficheros Analizados: 13504

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jan 19 22:24:41 2009

EliTriIP v5.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Mon Jan 19 22:24:49 2009

EliTriIP v5.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7812

Nº Total de Ficheros: 58285

Nº de Ficheros Analizados: 13504

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[julibaga]

Has visto si continúan los problemas después de reiniciar?

[KF86]

Ah, ahora me fijo, reinicio y te comento

[KF86]

Si, los problemas persisten. El NOD sigue encontrando trojanos y los manda a cuarentena, el mouse se cuelga cada tanto y no me permite abrir los anti-spysware

[julibaga]

Desactiva Restaurar Sistema, con el botón derecho del mouse en MiPc -> Restaurar sistema

y vuelve a pasarle el antivirus.

Toma nota de los archivos que no puede borrar, localízalos en Buscar y añádeles la extensión .VIR para que no se carguen de nuevo al reiniciar. Los empaquetas en zip con clave "virus" y los envías, tal y como se indica en el link siguiente:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[KF86]

[quote="julibaga"]Desactiva Restaurar Sistema, con el botón derecho del mouse en MiPc -> Restaurar sistema

y vuelve a pasarle el antivirus.[/quote]

[quote="julibaga"]
Está desactivada, yá que intente hace unas horas y me dice que estaba desactivada y tengo que comunicarme con el admim.

Toma nota de los archivos que no puede borrar, localízalos en Buscar y añádeles la extensión .VIR para que no se carguen de nuevo al reiniciar. Los empaquetas en zip con clave "virus" y los envías, tal y como se indica en el link siguiente:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253[/quote]

Es decir, si ese archivo es .exe, se lo cambio a .VIR ¿no modifica el funcionamiento del windows?.

[julibaga]

no se lo cambies a VIR, sino que se lo añades para que se sepa qué tipo de archivo era originalmente.

si es ffffff.exe lo pones como ffffff.exe.vir



No te tiene que afectar al sistema ya que son virus (supuestamente), en todo caso no se iniciarán y tendrá mejor funcionamiento, no crees?

[julibaga]

Bájate éste también:

http://www.zonavirus.com/datos/descargas/281/usb445.asp

y por si no te fijas cómo se usa, aquí te va:

USB445



Utilidad para facilitar la eliminacion del Conficker, a los usuarios que les ha entrado por no tener instalado el parche MS08-067 o no tenian protegido el ordenador contra virus de pendrive, o los que estan en una Red infectada por otro ordenador



Aparte, mueve el fichero gusano de dicho virus en cualquier unidad a la carpeta C:muestras y pide que se envie muestra para analizar. Si es el caso, luego enviarnos dicha muestra !!!



Tras ello, en la misma sesion instalar el parche y luego, arrancando en modo seguro, lanzar el Antivirus Actualizado que podrá eliminarlo.



Y no conectar al equipo otros ordenadores infectados !!!, limpiarlos antes de hacerlo



versiones_



---v1.0---(13 de Enero del 2009)

[KF86]

Ah, listo, habia entendido mal.



Va por un 60 % el analisis de la ultima particion, y me han salido carteles del NOD que decia que habia archivos que se debian desinfectar pero estaban en uso y que se debia reiniciar la PC para ello. No la reinicie para que termine el analisis.



Estos archivos los puso en cuarentena, hay 4 que estan en la carpeta System32 con el nombre X (system32\x) y otros 4 en Document and setting\networkservice\configuracion local\archivos temp de internet\content.ies\87966kzoj\xogu[1].png (otros tienen otras letras y numeros en las 2 ultimas "\" y terminan en .gif



Por otro lado, en la pantalla de progreso de analisis aparece un archivo



1) Archivos con leyenda "error abriendo",

2) Una veintena de archivos varios C:\Archivo de programa\ ... que tienen la leyenda "está correcto (el analisis interno no se ha ejecutado)"

3) otros que dicen C:\Archivo de programa\... "incorrecto valor de verificacion CRC, el archivo podria estar dañado"

4) "archivo comprimido corrupto"

5) Archivo comprimido dañado "el fichero pudiera no ser extraido"



en analisis va por el 30 %.



¿Cuales de estos debo agregarle el .VIR?

[julibaga]

Mira mi log anterior.

A parte, baja el HijackThis. Lo ejecutas y le das al primer botón de todos. Copia el resultado y lo pegas aquí para que algún experto nos pueda ayudar a ver qué tienes mal. De todas formas si veo alguno te lo indico.

El hijackthis lo puedes bajar de aquí:

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

[KF86]

Ok, lo haré cuando termine de hacer el analisis.



El mismo está a punto de terminar y todas las leyendas que aparecen son esas que te he nombrado, ¿cual debo añadirle esa extension .VIR?.



El antivirus me dice que no hay amenazas detectadas pero tengo 10 archivos en cuarentena.



Por otro lado, no puedo instalar el HijackThis, le doy doble click y ni bien aparece la ventana para instalar la misma se cierra instantaneamente.

[julibaga]

Añádele .vir a todos los que no puedas eliminar.

No elimines los que te salen en azul en el nod32.



Después de reiniciar pruebas el hijackthis.

Si no, veremos qué tienes con el Sprocess

http://www.zonavirus.com/descargas/sproces.asp

[KF86]

[quote="julibaga"]Añádele .vir a todos los que no puedas eliminar.

No elimines los que te salen en azul en el nod32.



Después de reiniciar pruebas el hijackthis.

Si no, veremos qué tienes con el Sprocess

http://www.zonavirus.com/descargas/sproces.asp[/quote]

No puedo iniciar el hijacjthis, inicia el programa pero se cierra al instante.



Por otro lado, ahora son 4 ahora los archivos los que tengo en cuarentena y 2 que tienen esta direccion



http://www.faheem.pk/main/images/datad.zip

hht://212.95.52.25:8080/18.exe



El resto estan en el C: y voy a modificarlos pero hay uno que está en "C:\windows\system32\x" y ese archivo no lo encuentro.







No se de donde salieron esos 2 archivos y tampoco como ubicarlos dentro del ordenador.

[KF86]

Bueno, ni el que está en system32 ni el que esta en temporales de internet puedo ubicarlos, no los encuentro, ¿es porque debo restaurarlos del NOD32?

[julibaga]

No. no los restaures.

En Buscar, entra en Más Opciones Avanzadas y marca la casilla Buscar en archivos y carpetas ocultas y búscalos otra vez.



No te olvides de usar el Sprocess que te mencioné anteriormente, porque desde ahí se podrían finalizar procesos que incordien.



Tampoco me indicaste si le pasaste el USB445 como te indico aquí:

https://foros.zonavirus.com/viewtopic.php?f=5&t=27518#p151988

[msc hotline sat]

Sobre lo indicado por KF86 anteriormente:



http://www.faheem.pk/main/images/datad.zip

hht://212.95.52.25:8080/18.exe



la primera linea corresponde a:



faheem.pk US United States TX Texas Houston 77002 29.7523 -95.3670



THEPLANET.COM INTERNET SERVICES THEPLANET.COM INTERNET SERVICES 618 713

75.125.179.18 US United States TX Texas Houston 77002 29.7523 -95.3670 THEPLANET.COM INTERNET SERVICES THEPLANET.COM INTERNET SERVICES 618 713



y la segunda es de :



212.95.52.25 DE Germany 05 Hessen Frankfurt Am Main 50.1167 8.6833 NetDirect netdirekt e.K.





aparte, el no poder ejecutar el HJT da igual, con el SPROCES es mucho mas completo, pruebalo como te dice julibaga !



Pero de entrada veo casi al principio del Tema que te faltan parches !!!



No detectado SP3 de Windows XP



Lanzar un windowsupdate e instalar el SP3 y demas críticos posteriores , como el MS08-067 y MS08-078



y es que ademas tenías pistas de Conficker !!!:



EliTriIP v5.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Servicio Eliminado "cbaunt" -> Conficker



Asi que es muy probable que la falta del parche MS08-067 permitiera la entrada de este bicho ...



Haz lo que se dice al respecto de este virus y parche en :



http://www.satinfo.es/web/2009/usb445.html



de lp que ya julibaga te sugiere que pruebes lo del USB445...



Posiblemente tengas una variante de conficker por culpa de no tener dicho parche, y este virus se actualiza y descarga nuevos troyanos que pueden no estar controlados ...



Tras hacer todo lo indicado, si tu antivirus no detecta nada, lanza este ASV ONLINE y nos posteas el informe resultante:







http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 20-1-2009

[KF86]

Bueno, vamos por partes, lentamente.



[b]Primero[/b]: Les muestro lo que me salio del SProces



AAWSERVICE.EXE

APPLEMOVILE

EKRN.EXE

EXPLORER.EXE

FIREFOX.EXE

LSASS.EXE

MYSQLD.EXE

NVSVC32.EXE

PNKBSTRA.EXE

PNKBSTRB.EXE

SERVICES.EXE

SMSS.EXE

SPROCES.EXE

SVCHOST.EXE

SVCHOST.EXE*

SVCHOST.EXE**

SVCHOST.EXE***

WINLOGON.EXE

WUAUCLT.EXE



Cual finalizo?

[b]

Segundo[/b]: Estoy en modo a prueba de errores, inicie el USB445 y ahora estoy poniendo en marcha el antivirus NOD32 tal como dice en la pagina anterior.



No se ve el formato normal de escaneo, sino que se ve una ventana como la del "CHKDSK".



[b]Tercero: [/b] Esto salio del analisis del hijackthis


[quote]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:48:12 a.m., on 20/01/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Archivos de programa\MySQL\MySQL Server 5.1\bin\mysqld.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe

E:\Programas\Mozilla Firefox\firefox.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ecls.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\qttask.exe" -atboottime

O4 - HKLM\..\Run: [McAfee Internet Security] mcvsvr.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: Descargar con &BitSpirit - C:\Archivos de programa\BitSpirit\bsurl.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207608881406

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe



--

End of file - 6747 bytes[/quote]

[msc hotline sat]

Tras pulsar SALIR, el SPROCES genera un informe en C:\sproclog.txt


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]



Abrelo, selecciona todo su contenido y pegalo en tu proximo post, de respuesta a este Tema, gracias



saludos



ms, 20-1-2009

[KF86]

Esto es lo que salio


[quote]Tue Jan 20 01:51:13 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: DESKTOP

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\MYSQL\MYSQL SERVER 5.1\BIN\MYSQLD.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\PNKBSTRA.EXE

C:\WINDOWS\SYSTEM32\PNKBSTRB.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE

E:\PROGRAMAS\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\ECLS.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\NUEVA CARPETA (2)\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\qttask.exe" -atboottime

O4 - HKLM\..\Run: [McAfee Internet Security] mcvsvr.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: Descargar con &BitSpirit - C:\Archivos de programa\BitSpirit\bsurl.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207608881406

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WB - C:\ARCHIVOS DE PROGRAMA\ALIENGUISE\FASTLOAD.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: MySQL - Unknown owner - C:\Archivos de programa\MySQL\MySQL Server 5.1\bin\mysqld" --defaults-file="C:\Archivos de programa\MySQL\MySQL Server 5.1\my.ini (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: Sony Ericsson USB Flash Driver (ggsemc) - Sony Ericsson Mobile Communications - C:\WINDOWS\SYSTEM32\DRIVERS\ggsemc.sys

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: File Security Driver (IKFileSec) - PCTools Research Pty Ltd. - C:\WINDOWS\system32\drivers\ikfilesec.sys

O23 - Service: System Filter Driver (IKSysFlt) - PCTools Research Pty Ltd. - C:\WINDOWS\SYSTEM32\drivers\iksysflt.sys

O23 - Service: System Security Driver (IKSysSec) - PCTools Research Pty Ltd. - C:\WINDOWS\SYSTEM32\drivers\iksyssec.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Motorola SURFboard USB Cable Modem Windows Driver (ndiscm) - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NetMotCM.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: iLook 300 (PAC7302) - PixArt Imaging Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PAC7302.SYS

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: qvfgagm - Unknown owner - C:\WINDOWS\system32\064.tmp (file missing)

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Sony Ericsson Device 616 driver (WDM) (s616bus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s616bus.sys

O23 - Service: Sony Ericsson Device 616 USB WMC Modem Filter (s616mdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s616mdfl.sys

O23 - Service: Sony Ericsson Device 616 USB WMC Modem Driver (s616mdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s616mdm.sys

O23 - Service: Sony Ericsson Device 616 USB WMC Device Management Drivers (WDM) (s616mgmt) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s616mgmt.sys

O23 - Service: Sony Ericsson Device 616 USB Ethernet Emulation SEMC616 (NDIS) (s616nd5) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s616nd5.sys

O23 - Service: Sony Ericsson Device 616 USB WMC OBEX Interface (s616obex) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s616obex.sys

O23 - Service: Sony Ericsson Device 616 USB Ethernet Emulation SEMC616 (WDM) (s616unic) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s616unic.sys

O23 - Service: Sony Ericsson Device 916 driver (WDM) (s916bus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s916bus.sys

O23 - Service: Sony Ericsson Device 916 USB WMC Modem Filter (s916mdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s916mdfl.sys

O23 - Service: Sony Ericsson Device 916 USB WMC Modem Driver (s916mdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s916mdm.sys

O23 - Service: Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM) (s916mgmt) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s916mgmt.sys

O23 - Service: Sony Ericsson Device 916 USB WMC OBEX Interface (s916obex) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s916obex.sys

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

O23 - Service: Sony Ericsson Device 062 (WDM) (se3ebus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\se3ebus.sys

O23 - Service: Sony Ericsson Device 062 USB WMC Modem Filter (se3emdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\se3emdfl.sys

O23 - Service: Sony Ericsson Device 062 USB WMC Modem Driver (se3emdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\se3emdm.sys

O23 - Service: Sony Ericsson Device 062 USB WMC Device Management Drivers (WDM) (se3emgmt) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\se3emgmt.sys

O23 - Service: Sony Ericsson Device 062 USB WMC OBEX Interface (se3eobex) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\se3eobex.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



50 Servicios.

10 de Carga Automatica.

39 de Carga Manual.

1 Deshabilitados.
[/quote]

[msc hotline sat]

Sigues con la falta de parches:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



recuerda actualizar ...





y esto pretende ser de McAfee pero...,



O4 - HKLM\..\Run: [McAfee Internet Security] mcvsvr.exe



envianoslo para analizar, posiblemente esté en C:\windows\system32\mcvsvr.exe pero si no lo encuentras alli, búscalo con un Inicio -> Buscar -> Todas las carpetas y ficheros





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 20-1-2009

[KF86]

El tema es que el Windows que tiene la PC de mi hno es el Windows Ue, no es una version original de Windows.





Lo que yo descargue de la pagina de Microsoft fueron estos parches de seguridad.



WindowsXP-KB921883-x86-ESN.exe

WindowsXP-KB956803-x86-ESN.exe



Hize la busqueda del archivo mcvsvr.exe en "buscar" pero no ha encontrado nada.



Tambien se termino el analisis del antivirus, pero no salio ningun recuadro.



PD: Ahi active las actualizaciones de Windows y ya puse a descargarlas, incluyendo el SP3. ¿no es incompatible el SP3 de Windows con el SP2 del Windows Ue?.

[msc hotline sat]

No damos soporte a versiones paralelas ...



Envianos el fichero indicado y veremos si es malicioso o no, y obraremos en consecuencia



saludos



ms, 20-1-2009

[KF86]

[quote="msc hotline sat"]No damos soporte a versiones paralelas ...



Envianos el fichero indicado y veremos si es malicioso o no, y obraremos en consecuencia



saludos



ms, 20-1-2009[/quote]

Lo haria, el tema es que esos archivos que me has dicho que busque, no aparecen.



Gracias igual de todos modos.

[msc hotline sat]

Entonces damos ya por terminado el Tema y procedemos a cerrarlo



saludos



ms, 20-1-2009





[img]http://img138.imageshack.us/img138/4893/closed2ur0.gif[/img]