creo que tengo un virus

[mik]

hola y gracias por vuestra ayuda los resultados de sproces son:

Thu Jan 22 19:53:50 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: MGN

Nombre Usuario: Migue



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\LEXMARK X1100 SERIES\LXBKBMGR.EXE

C:\ARCHIVOS DE PROGRAMA\LEXMARK X1100 SERIES\LXBKBMON.EXE

C:\ARCHIVOS DE PROGRAMA\APOINT2K\APOINT.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\ARCHIVOS DE PROGRAMA\BROTHER\CONTROLCENTER3\BRCCMCTL.EXE

C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIV~1\MI3AA1~1\WCESCOMM.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\APOINT2K\HIDFIND.EXE

C:\ARCHIVOS DE PROGRAMA\APOINT2K\APNTEX.EXE

C:\ARCHIV~1\MI3AA1~1\RAPIMGR.EXE

C:\ARCHIVOS DE PROGRAMA\IDIOMAX\TRANSLATION SUITE 4.0\TRASWORD.EXE

C:\ARCHIVOS DE PROGRAMA\IDIOMAX\TRANSLATION SUITE 4.0\TRDLAUNCH.EXE

C:\ARCHIVOS DE PROGRAMA\IDIOMAX\TRANSLATION SUITE 4.0\TRSLAWEB.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\DOCUMENTS AND SETTINGS\MIGUE\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost







O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Barra de Traducción de IdiomaX - {477A7A3C-8B11-4B02-ADD1-7A01C4D00FA2} - C:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\ARCHIV~1\MI3AA1~1\wcescomm.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [PPort11reminder] "C:\Archivos de programa\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Datos de programa\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [IndexSearch] "C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe"

O4 - HKLM\..\Run: [IdiomaX Office] C:\Archivos de programa\IdiomaX\Translation Suite 4.0\IdxOffice.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [ControlCenter3] C:\Archivos de programa\Brother\ControlCenter3\brctrcen.exe /autorun

O4 - HKLM\..\Run: [BrMfcWnd] C:\Archivos de programa\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: Ayudante de Traducción IdiomaX.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: Traductor de Correos IdiomaX.lnk

O4 - Global Startup: Traductor de Web IdiomaX.lnk

O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Mostrar/Ocultar Barra de Traducción - {FE768A8F-9F88-4511-B28B-552ED2F6B500} - C:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Intranet ZoneO16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1216925926128

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5501/mcfscan.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: NEC VersaGlide Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Brother USB Still Image driver (BrScnUsb) - Brother Industries Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\BrScnUsb.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: STFileDriver (FileObjInfo) - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\Spyware Terminator\FileObjInfo.sys (file missing)

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Padus ASPI Shell (pfc) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: NEC Note Keyboard with One-touch start buttons (Ps2Led) - NEC Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Ps2Led.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8139/810x/8169/8110 all in one NDIS NT Driver (RTL8023) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnic51.sys

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: 802.11b WLAN PC Card Service (wlask48d) - IEEE - C:\WINDOWS\SYSTEM32\DRIVERS\wlask48d.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



32 Servicios.

8 de Carga Automatica.

21 de Carga Manual.

3 Deshabilitados.

no os envio todo el listado de host porque es demasiado grande y no me deja enviarlo si os hace falta en los envio en dos o tres mensajes

he buscado el klomp.exe y no lo tengo o no lo encuentra

utilizo normalmente firefox pero he probado con ie y tambien me desconecta y le he preguntado a mi hermano que tambien utiliza el pc y usa ie casi siempre y dice que tambien le desconectaba ultimamente

el resultado de elistara 17.85 ha sido:



Thu Jan 22 19:28:38 2009

EliStartPage v17.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4931

Nº Total de Ficheros: 54124

Nº de Ficheros Analizados: 20061

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



muchas gracias de nuevo y espero vuestra respuesta, salu2

[julibaga]

rectifico este mensaje. No había leído lo anterior completamente.



De todas formas, indícanos si persisten las anomalías después de reinicar.

[flacoroo]

HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
Descargar Hijackthis
habilitas solo los procesos que te indicamos(debes tener cuidado para no equivocarte) y despues en pulsas la opcion FIX CHECKED y asi las eliminaras,
si te pide guardar una copia dale que si, despues reinicias y nos dices como va tu compu....

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Intranet ZoneO16 - DPF: DirectAnimation Java Classes - file:\WINDOWS\Java\classes\dajava.cab

[msc hotline sat]

Y a la vista está que faltan parches !!!:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;





Lanzar un windowsupdate e instalar el SP3 y demas críticos posteriores , como el MS08-067 y MS08-078





saludos



ms, 22-1-2009

[mik]

ya he pasado el HiJackThis y me ha dejado este resultado



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:33:33, on 23/01/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Brother\ControlCenter3\brccMCtl.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\ARCHIV~1\MI3AA1~1\wcescomm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Apoint2K\HidFind.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

C:\Archivos de programa\IdiomaX\Translation Suite 4.0\TrasWord.exe

C:\Archivos de programa\IdiomaX\Translation Suite 4.0\TrdLaunch.exe

C:\Archivos de programa\IdiomaX\Translation Suite 4.0\TrslaWeb.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Barra de Traducción de IdiomaX - {477A7A3C-8B11-4B02-ADD1-7A01C4D00FA2} - C:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [PPort11reminder] "C:\Archivos de programa\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Datos de programa\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [IndexSearch] "C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe"

O4 - HKLM\..\Run: [IdiomaX Office] C:\Archivos de programa\IdiomaX\Translation Suite 4.0\IdxOffice.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [ControlCenter3] C:\Archivos de programa\Brother\ControlCenter3\brctrcen.exe /autorun

O4 - HKLM\..\Run: [BrMfcWnd] C:\Archivos de programa\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\ARCHIV~1\MI3AA1~1\wcescomm.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Ayudante de Traducción IdiomaX.lnk = C:\Archivos de programa\IdiomaX\Translation Suite 4.0\TrasWord.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Traductor de Correos IdiomaX.lnk = C:\Archivos de programa\IdiomaX\Translation Suite 4.0\TrdLaunch.exe

O4 - Global Startup: Traductor de Web IdiomaX.lnk = C:\Archivos de programa\IdiomaX\Translation Suite 4.0\TrslaWeb.exe

O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Mostrar/Ocultar Barra de Traducción - {FE768A8F-9F88-4511-B28B-552ED2F6B500} - C:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1216925926128

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5503/mcfscan.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



--

End of file - 8896 bytes



antes habia pasado el mcafee en modo seguro y me da una amenaza en el archivo facesakc.dll y el nombre de la amenaza

backdoor.avw



la indicacion que me da msc me lo puedes explicar un poco que no tengo ni idea de que va, gracias.





saludos

[msc hotline sat]

Pues deberias saber que microsoft publica parches por lo menos una vez al mes, y deben aplicarse con un windowsupdate para cerrar los agujeros de seguridad descubiertos asi como mejorar el sistema en lo posible...

Abre el navegador I.E., ve a Herramientas y pulsa en Windowaupdate e instala los que encuentre a faltar !

Aparte, si dices que has detectado este fichero infectado:

facesakc.dll

envianoslo para analizar



Tras recibirlos, los analizaremos e implementaremos su control y eliminación

si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 23-1-2009
________

[mik]

ya he enviado el fichero que me reporto el mcafee espero noticias.

por cierto hace un rato avast se ha vuelto ha actualizar sin problemas, voy a probar a pasar el av online a ver si me deja.

estoy intentando actualizar windows que aun teniendo las actualizaciones automaticas activadas no me actualizo el sp3 estoy probando pero de momento todavia no me ha dejado voy a seguir intentandolo con la ayuda de windows update y ya os comento.



muchisimas gracias y un saludo

[msc hotline sat]

Pues el lunes, en SATINFO, analizaremos las muestras enviadas y procederemos en consecuencia.

Mientras, y como que mencionas que McAfee te detectó en dicho fichero el backdoor.avw

"antes habia pasado el mcafee en modo seguro y me da una amenaza en el archivo facesakc.dll y el nombre de la amenaza backdoor.avw"

que puede ser el mismo que ya detectamos y controlamos con el ELITRIIP desde hace tiempo:

http://www.zonavirus.com/descargas/elitriip.asp

Prueba dicha utilidad, por si se tratara de la misma variante:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 24-1-2009

[mik]

hola he pasado ELITRIIP y me ha dejado...





Sat Jan 24 11:02:34 2009

EliTriIP v5.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Migue\Escritorio\descargas ARES\30 Voces Radar TTN51.exe --> Eliminado, KillAV.FX(dr)



Nº Total de Directorios: 4959

Nº Total de Ficheros: 55023

Nº de Ficheros Analizados: 18913

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



saludos

[msc hotline sat]

sÍ , PERO ESTE ES OTRO !!!



Parece que el que nos has enviado es una variante del que ya controlamos.



De momento renombra dicho fichero añadiendole extension .VIR para que tras reiniciar ya no se ponga en marcha



Y el lunes, tras recibir la muestra, la analizaremos e informaremos



saludos



ms, 24-1-2009

[mik]

creo que no he enviado bien el fichero por las malditas prisas, me refiero a comprimirlo y ponerle el pasword, no se si habra algun problema.



os envio tambien este ultimo, pero ya bien, lo prometo.





saludos

[lucl]

Si no lo enviaste bien repite envio porque si no no podremos analizarlo saludos

[msc hotline sat]

Pues mañana, tras la vuelta al trabajo en SATINFO, analizaremos las muestras recibidas e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 25-1-2009

[msc hotline sat]

Detectadas rutinas de Backdoor en la muestra recibida, pasamos a implementar su control y eliminacion en el ELITRIIP 5.49 de hoy

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 26-12-2009

[mik]

ya he pasado ELITRIIP 5.49 y el resultado





Mon Jan 26 20:17:27 2009

EliTriIP v5.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5076

Nº Total de Ficheros: 58660

Nº de Ficheros Analizados: 20695

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



la verdad es que el otro dia mande a la papelera el archivo al que haciamos referencia no se si hice bien



saludos

[msc hotline sat]

Pues si ya lo borraste, es lógico que no lo encuentre la nueva version, pero se le supone... :?



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 26-1-2009