Troyano. El antivirus no lo elimina, ayuda!!

[Lauracg]

El kaspersky me detecta un troyano pero no me lo elimina. Algunos si me los eliminó pero con este no sé qué hacer...



Es este, si alguien me puede ayudar lo agradecería.



[url=http://img24.imageshack.us/my.php?image=dibujoqim.jpg][img]http://img24.imageshack.us/img24/9792/dibujoqim.jpg[/img][/url]

[msc hotline sat]

Es un iframe añadido al final de dicho fichero. Si el ELISTARA no lo controla, envianoslo para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 8-3-2009











NOTA: Tambien el McAfee lo controla, como puedes ver:
[attachment=0]GIFRAMER.GIF[/attachment] ms.

[Lauracg]

[quote="msc hotline sat"]Es un iframe añadido al final de dicho fichero. Si el ELISTARA no lo controla, envianoslo para analizar[/quote]

Perdona, pero no tengo ni idea de cómo lo puedo enviar... ni qué tengo que hacer :roll:

[msc hotline sat]

Has probado si, tras reiniciar, y sin ir a la pagina en cuestion, una exploracion con el antivirus te detecta algo ???



Porque generalmente habrá impedido su intrusion y solo habrá entrado en el temporal de CONTENT.IE5, y ello lo habrá eliminado en el siguiente reinicio, asi que prueba lo que te digo, y si siguiera detectandolo, ya te indicariamos como hacerlo facilmente con el ELIMOVER.





saludos



ms, 8-3-2009

[Lauracg]

He reiniciado el pc y me lo sigue detectando. De hecho, llevo unos 3 días con él. Hice el análisis y me lo detectó y hoy he vuelto a analizar el pc para ver si seguía y sí, sigue por aquí el virus ese..

[msc hotline sat]

Pues prueba con el ELISTARA actual:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si no lo detecta, implementaremos en el que hagamos hoy el control y eliminacion especifico para esta nueva variante, y podras descargarlo y probarlo a partir de las 19 h GMT



Tras probar nuestras utilidades de evaluación, luego posteanos el c:\infosat.txt , gracias



saludos



ms, 9-3-2009

[msc hotline sat]

Pues al llegar a SATINFO y darlo a procesos, hemos visto que ya tenemos una utilidad especial que lo controla y lo limpia:





ELIFRAME

http://www.zonavirus.com/datos/descargas/276/eliframeexe.asp





Descargala, pruebala y nos ionformas del resultado, gracias



saludos



ms, 9-3-2009

[Lauracg]

He probado primero el IFRAME y no me elimina nada, me sale esto


[quote]Mon Mar 09 16:05:43 2009

EliIFrame v1.1 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2005)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 11847

Nº Total de Ficheros: 124291

Nº de Ficheros Analizados: 19762

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/quote]

Luego le he pasado el ELISTARA y me ha eliminado dos cosas pero que no es lo que me detectaba el antivirus. Aquí te dejo lo que me sale


[quote] Mon Mar 09 16:19:07 2009

EliStartPage v18.16 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{34ea1c70-42cc-42c5-aa29-ec58b95a343e}" -> NULL2

Eliminados Ficheros Temporales del IE



Mon Mar 09 16:21:01 2009

EliStartPage v18.16 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Laura\Escritorio\Laura\Juegos\Los sims 2 IKEA\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\Documents and Settings\Laura\Mis documentos\MSGPLUS.EXE --> Eliminado, MessengerPlus



Nº Total de Directorios: 11384

Nº Total de Ficheros: 118519

Nº de Ficheros Analizados: 31847

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2
[/quote]

[msc hotline sat]

Pues posiblemente ya no tienes el fichero en cuestion, ya que el ELIFRAME lo controla y limpia, segun hemos podido comprobar.



Miralo con este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 9-3-2009

[Lauracg]

Pues creo que ya no lo tengo o al menos antes he vuelto a analizar el pc y no me salía, pero con esto último que me has dicho, cuando lo estaba pasando me ha salido un pantallazo azul y me ponia que el problema era algo llamado [b]KLIF.SYS[/b] y las dos veces que lo he intentado me ha salido eso... no entiendo nada :roll: :roll: ¿Eso es un virus?



De todas formas, mañana lo volveré a analizar todo por si volvería a salir el troyano aquél que tenía, el iframe... no vaya a ser que vuelva a aparecer.



Gracias por tu ayuda!

[lucl]

Tienes la ultima version del kapersky? comentanos saludos

[Lauracg]

[quote="lucl"]Tienes la ultima version del kapersky? comentanos saludos[/quote]

El Kaspersky lo compré hará un par de meses, es el nuevo Kaspersky internet security 2009...

[msc hotline sat]

Eso del Klif.sys es un driver del kaspersky, que ya dio problemas en el pasado:



http://www.kaspersky.com/sp/technews?id=11



y que colisiona con otras aplicaciones en el presente...



posteanos el log que te generará el SPROCES y miraremos qué puede estar provocando esta colisión con dicho antivirus.


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 10-3-2009

[Lauracg]

[b]RESULADO SPROCLOG[/b]


[quote]Tue Mar 10 16:23:07 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: LAURACG-C4D507B

Nombre Usuario: Laura



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\ARCHIVOS DE PROGRAMA\SONY ERICSSON\MOBILE2\APPLICATION LAUNCHER\APPLICATION LAUNCHER.EXE

C:\ARCHIVOS DE PROGRAMA\PANASONIC\USB GEAR\DECTWINAPP.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2009\AVP.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\TELECA SHARED\CAPABILITYMANAGER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2009\AVP.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\TELECA SHARED\GENERIC.EXE

C:\ARCHIVOS DE PROGRAMA\SONY ERICSSON\MOBILE2\MOBILE PHONE MONITOR\EPMWORKER.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\DOCUMENTS AND SETTINGS\LAURA\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RegistryMechanic]

O4 - HKLM\..\Run: [DECTWinApp] "C:\Archivos de programa\Panasonic\USB GEAR\DECTWinApp.exe" /S

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Laura\Mis documentos\MsgPlus.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Estadísticas de protección del tráfico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} - http://codecs.microsoft.com/codecs/i386/fhg.CAB

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.es/s/v/40.11/uploader2.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laura-cg.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {639658F3-B141-4D6B-B936-226F75A5EAC3} (CPlayFirstDinerDash2Control Object) - http://webgames.d.tmsrv.com/c=3fa3620b1bef9aa7e651b793b11797fd/aff=t_25oa_esca_wg/p/release/playfirst/wg_dinerdash2/dinerdash2/DinerDash2.1.0.0.48.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152984845228

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://laura-cg.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444554840000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://webgames.d.tmsrv.com/c=57a1b436b18a942ba076cd260b80cdaa/aff=t_25oa_esca_wg/p/release/playfirst/wg_dinerdash/dinerdash/DinerDash.1.0.0.58.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{05D69A3C-AE32-4F9E-B8EE-2540884301C3}: NameServer = 194.179.1.100,194.179.1.101

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\ARCHIV~1\KASPER~1\KASPER~2\adialhk.dll,C:\ARCHIV~1\KASPER~1\KASPER~2\kloehk.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: nVidia WDM Video Capture (universal) (nvcap) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nvcap.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: nVidia WDM A/V Crossbar (NVXBAR) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVxbar.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Service for WDM 3D Audio Driver (ALCXSENS) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\ALCXSENS.SYS

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Jukebox3 - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ctpdusb.sys

O23 - Service: Kaspersky Lab KLFltDev (KLFLTDEV) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klfltdev.sys

O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys

O23 - Service: PANDA NDIS IM Filter Miniport (NETIMFLT) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\netimflt.sys (file missing)

O23 - Service: NetGroup Packet Filter Driver (NPF) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\npf.sys (file missing)

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Panasonic USB GEAR Driver (PanasonicDECT-USBGEAR) - Panasonic Communications Co., Ltd. - C:\WINDOWS\SYSTEM32\Drivers\pccusbdd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\WINDOWS\SYSTEM32\%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Sony Ericsson Device 044 Driver driver (WDM) (SE2Cbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cbus.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Modem Filter (SE2Cmdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmdfl.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Modem Driver (SE2Cmdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmdm.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Device Management Drivers (WDM) (SE2Cmgmt) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmgmt.sys

O23 - Service: Sony Ericsson Device 044 USB WMC OBEX Interface (SE2Cobex) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cobex.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TSP - Kaspersky Lab - C:\WINDOWS\system32\drivers\klif.sys

O23 - Service: ueadhvniiwmh - Panda Software International - C:\WINDOWS\SYSTEM32\drivers\ueadhvniiwmh.sys

O23 - Service: {DEF85C80-216A-43ab-AF70-1665EDBE2780} - Unknown owner - C:\WINDOWS\TEMP\310.tmp (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



37 Servicios.

8 de Carga Automatica.

26 de Carga Manual.

3 Deshabilitados.
[/quote]

[msc hotline sat]

EMPEZANDO POR EL FINAL, SALTA A LA VISTA QUE JUNTO CON EL SERVICIO DEL KLIF.SYS de marras, haya otro de Panda !!!



O23 - Service: TSP - Kaspersky Lab - C:\WINDOWS\system32\drivers\klif.sys

O23 - Service: ueadhvniiwmh - Panda Software International - C:\WINDOWS\SYSTEM32\drivers\ueadhvniiwmh.sys



y ya se sabe que no debe haber dos antivirus en un solo ordenador, especialmente si uno de ellos es el kaspersky, muy conflictivo en este sentido...



Desinstala totalmente este Panda !!!



Aparte voy a seguir con el analisis, ya que he empezado por abajo y me he parado enseguida !

[Lauracg]

Ui, pero si el Panda lo desinstalé hace meses.... no sé como es que quedan todavía restos de él... intentaré eliminarlo a ver.

[msc hotline sat]

Pues esta otra class 02478D38-C3F9-4efb-9B51-7695ECA05670 , voy a ver qué es:



Pues parece ser un resto, segun:



http://www.threatexpert.com/report.aspx?md5=9ef206c00cf1552e2b63344b8a660082



Si tras eliminar todo resto de Panda y reiniciar, persistiera algun problema, eliminala tambien



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 10-3-2009

[Lauracg]

La verdad es que no sé cómo eliminar completamente el Panda, he borrado cosas pero creo que algo queda por ahí... volví a probar a pasarle esto http://www.kaspersky.com/kos/english/kavwebscan.html y de nuevo pantallazo azul... por lo demás decir que el troyano aquél tenía ya no lo tengo :mrgreen:

[msc hotline sat]

Pues si ya no tienes el troyano, dinos si, tras reiniciar, persiste alguna anomalia, aparte de lo de no poder lanzar el AV ONLINE, ya que puede que para ello te falte actualizar la version de flash, pero si ya no te hace falta lanzarlo...



En función de tu respuesta obraremos en consecuencia



saludos



ms, 11-3-2009

[Lauracg]

Pues no, a parte de la pantalla azul que de momento sólo sale al poner eso, por lo demás ningún problema.



GRACIAS!!!

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 11-3-2009





NOTA: Y aunque no necesita ya el AV ONLINE, pruebe de actualizar la version de Java, que quizas es por esto lo de la pantalla azul ??? ms.

[Lauracg]

De acuerdo, pues muchísimas gracias por la ayuda y el interés.



Un saludo.

[msc hotline sat]

Ha sido un placer, y si nos necesita de nuevo, ya sabe donde estamos :wink:



saludos



ms, 12-3-2009