Usuario bloqueado

[alfonsito]

Hola!! Hace mucho que no os daba la lata pero esta vez el problema es gordo.. ademas de dificil de describir, a ver si lo hago bien. Hace un par de dias al encender el ordenador, me salio un mensaje parecido a que no habia suficiente espacio libre y que no se iba a poder cargar la configuracion completa del usuario. El caso es que ahora ha desaparecido mi configuracion del escritorio, no me permite hacer muchas cosas como poner un fondo de escritorio o visualizar el contenido de la papelera de reciclaje, ni hacer modificaciones en el menu de inicio... entre otras cosas. Ademas, ha afectado tambien al teclado, no a las letras ni a los numeros, pero si a los simbolos asociados como comillas, parentesis,.. todo ha cambiado de sitio.

En este ordenador hay dos usuarios pero solo ha afectado al mio, que es con el que se inicio la sesion. Ha eliminado mi cuenta de outlook express, no puedo acceder a mi bandeja de entrada.



El sistema operativo instalado es windows XP.. no se si necesitais alguna otra informacion.. preguntadme. Ah! tengo instalado el Kaspersky y dice que todo esta bien. Tambien he pasado el Spybot y ha detectado un trojano, Virtumonde.sdn



Bueno, ya me direis que puedo hacer. Un saludito.

[msc hotline sat]

El VUNDO (Virtumonde o Virtual Mundo) es una familia de cientos de troyanos que conocemos desde hace tiempo, y vamos controlando a medida que recibimos muestras al respecto.



Prueba el ELISTARA y si lo conoce lo eliminará, sino pedirá muestras para analizar:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]





Y si pide el ELINOTIF.DLL, copiar dicho fichero en la misma carpeta que el ELISTARA.EXE, el cual la utilizará si la necesita:



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



y tras reiniciar, ver el informe y obrar en consecuencia



saludos



ms, 10-4-2009

[alfonsito]

Ya he pasado el elistara pero no ha detectado nada



10-4-2009 10:05:24)

EliStartPage v18.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8291

Nº Total de Ficheros: 87838

Nº de Ficheros Analizados: 25058

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Aunque no he podido pasarlo en el usuario que me esta dando problemas, he tenido que hacerlo desde el otro usuario que hay en este ordenador, que no parece tener problemas para realizar ninguna accion.

No me ha pedido elinotif.. que puedo hacer ahora... en teorio el Virtumonde no elimino ayer el spybot.



Gracias por todo.

[msc hotline sat]

Pues si ni el ELISTARA ni el Kaspersky detectan nada, prueba si aun lo detecta el SPYBOT, y si ya no lo detecta, es que algo se lo ha "comido"



En tal caso, prueba el SPROCES y nos posteas el informe resultante:




[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 10-4-2009

[alfonsito]

Parece que voy a tener que enviar el informe que ha salido en varios mensajes porque es demasiado largo.



El spybot sale limpio, asi es que he pasado el programa que me has dicho. Vamos a ver he tenido que pasar el programa con el otro usuario, igual que el elistara, y el resultado es el siguiente



(10-4-2009 17:37:44)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: M_PALOMA

Nombre Usuario: E54



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2009\AVP.EXE

C:\ARCHIVOS DE PROGRAMA\IVT CORPORATION\BLUESOLEIL\BTNTSERVICE.EXE

C:\WINDOWS\SYSTEM32\CISVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\CIDAEMON.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4PNP.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\ARCHIVOS DE PROGRAMA\HPQ\QUICK LAUNCH BUTTONS\EABSERVR.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 8.0\READER\READER_SL.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2009\AVP.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWTRAY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS MEDIA PLAYER\WMPNSCFG.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\MACROVISION\FLEXNET CONNECT\6\ISUSPM.EXE

C:\ARCHIVOS DE PROGRAMA\IVT CORPORATION\BLUESOLEIL\BLUESOLEIL.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\SATINFO\SPROCES.EXE



.. continua

[msc hotline sat]

Justamente es la parte que continua donde estan las claves...



porqué no la has posteado ???



Hace falta la totalidad del informe, no un cacho !



Seleccionalo todo y lo pegas en tu proximo post de respuetsa a este Tema, gracias



saludos



ms, 10-4-2009

[alfonsito]

Lo voy a tener que enviar en varios trozos, vale?



Aqui va el primero..



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 http://www.007guard.com



<eliminadas entradas intermedias con la misma redireccion a la 127.0.0.1>



O1 - Hosts: 127.0.0.1 fwrrari.it

[alfonsito]

El siguiente



O1 - Hosts: 127.0.0.1 http://www.g0oogle.it



<eliminadas entradas intermedias con la misma redireccion a la 127.0.0.1>



O1 - Hosts: 127.0.0.1 lzio.com

[alfonsito]

O1 - Hosts: 127.0.0.1 http://www.mabou.org



<eliminadas entradas intermedias con la misma redireccion a la 127.0.0.1>



O1 - Hosts: 127.0.0.1 rzvonporn.com

[alfonsito]

O1 - Hosts: 127.0.0.1 s0.thezirius.com



<eliminadas entradas intermedias con la misma redireccion a la 127.0.0.1>



O1 - Hosts: 127.0.0.1 xzoomy.com

[alfonsito]

O1 - Hosts: 127.0.0.1 yahabags.com



<eliminadas entradas intermedias con la misma redireccion a la 127.0.0.1>



O1 - Hosts: 127.0.0.1 outlets-fabrikverkauf.net

[alfonsito]

<anteriores entradas redirigidas al 127.0.0.1 se han suprimido>



O1 - Hosts: 127.0.0.1 http://www.zero-animation.net

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: []

O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Datos de programa\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler

O4 - HKCU\..\Run: [AdobeUpdater] "C:\Archivos de programa\Archivos comunes\Adobe\Updater5\AdobeUpdater.exe"

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Auto Run Software for Photo Frame]

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

O4 - Startup: desktop.ini

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk

O4 - Global Startup: BlueSoleil.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Selección Rápida WinZip.lnk

O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Estadísticas de protección del tráfico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.5.0) - http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{443075FA-C2D0-452C-BB84-9B70E4CF5B21}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\adialhk.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\kloehk.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: General Purpose USB Driver (adildr.sys) (ADILOADER) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\adildr.sys (file missing)

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: USB ADSL WAN Adapter (adiusbaw) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\adiusbaw.sys (file missing)

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: SpeedTouch USB ADSL PPP Networking Driver (NDISWAN) (alcan5wn) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcan5wn.sys

O23 - Service: SpeedTouch ADSL Modem ATM Transport (alcaudsl) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcaudsl.sys

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Broadcom NetXtreme Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys

O23 - Service: Broadcom 440x 10/100 Integrated Controller (bcm4sbxp) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcm4sbxp.sys

O23 - Service: Bluetooth Audio Service (BlueletAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys

O23 - Service: Bluetooth SCO Audio Service (BlueletSCOAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\BlueletSCOAudio.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys

O23 - Service: Bluetooth HID Enumerator (BTHidEnum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vbtenum.sys

O23 - Service: Bluetooth Network Filter (BTNetFilter) - Unknown owner - C:\WINDOWS\system32\drivers\BTNetFilter.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: eabusb - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\eabusb.sys

O23 - Service: Scroll Mouse Driver (genmcmn) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\gmfiltr.sys (file missing)

O23 - Service: USB Scroll Mouse Driver (genmcmnUSB) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\gflmouhid.sys (file missing)

O23 - Service: GTIPCI21 - Texas Instruments - C:\WINDOWS\SYSTEM32\DRIVERS\gtipci21.sys

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Kaspersky Lab KLFltDev (KLFLTDEV) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klfltdev.sys

O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SMSC IrCC Miniport Device Driver (SMCIRDA) - SMSC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: Virtual Serial port driver (VComm) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys

O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2200BG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



44 Servicios.

8 de Carga Automatica.

35 de Carga Manual.

1 Deshabilitados.



ESto es todo!!!

[msc hotline sat]

Aparte de tener un mogollon de entradas en el HOSTS debidas posiblemente al SPYBOT, y que se eliminan del log por superfluas, vemos estas dos claves sospechosas:



O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys



O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys



Envianos sus dos ficheros para analizar:



C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





y de momento añade .VIR a sus extensiones, para dejarlos aparcados hasta su analisis



saludos



ms, 11-4-2009







NOTA: Y tras añadir a dichos ficheros la extension .VIR, si persiste la anomalia o problemas, elimina del HOSTS todas las entradas de redireccionamiento al LOCAL HOST, 127.0.0.1 menos la primera, la de original de 127.0.0.1 LOCAL HOSTS, pues la cantidad tan grande de entradas interceptando el acceso a tantas URL puede que sea hacer peor el remedio que la enfermedad... Hasta nuestro acceso a tu Tema era lento por culpa de ellas, y por esto las he suprimido. ms.

[alfonsito]

Ya os he enviado las muestras y he hecho todo lo que me decias, pero el usuario aun sigue sin poder realizar gran numero de tareas sencillas como por ejemplo poner un fondo de pantalla. El teclado sigue sin funcionar correctamente, pero unicamente con ese usuario, las sesiones con el otro usuario son completamente normales.



Una cosa mas, que hago con el spybot para que no vuelva a pasar lo del hosts?? Lo desinstalo?



Gracias. A la espera de vuestra respuesta en cuanto a las muestras. Un saludito.

[msc hotline sat]

El SPYBOT dejalo, igual fue la configuracion o la instalacion, y ya no las vuelve a crear.



y mientras no volvemos al trabajo en SATINFO, que será si Dios quiere el proximo martes, ya que el lunes es fiesta en Catalunya, sube estos dos ficheros al virustotal: www.virustotal.com/es



C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys



y nos posteas los dos informes resultantes, asi podremos adelantar el resultado del analisis de las muestras_



saludos



ms, 11-4-2009

[alfonsito]

Informe del AGRSM.sys Resultado 0%



nformación adicional

Tamano archivo: 1268204 bytes

MD5...: 593aefc67283d409f34cc1245d00a509

SHA1..: adf3a7753d30ee7fcd3c9fe835d7945b72e3cf6b

SHA256: 0845c09d8b76c20c2c43cc9fc42a07c23f006a0a4619d68445316bbc0cc28344

SHA512: 9778463ce3980d843059b8cefbf3d545903b74ac427456ff137a6414866879b5

b254682c3f8bf3c24ee07c8d67d20ef22927a7e17cec8b2f8a1da17059cda73c

ssdeep: 12288:ncnrCNKrU7A+BeiX83D1STO0cRASmQCqu+pkNcSfuO+lGWepOTE9T1Lu:n

cnhaB0D1e9SmP81SfQlGWegw9JS

PEiD..: -

TrID..: File type identification

Windows Screen Saver (51.1%)

Win32 Executable Generic (33.2%)

Generic Win/DOS Executable (7.8%)

DOS Executable Generic (7.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x126b56

timedatestamp.....: 0x40e16984 (Tue Jun 29 13:07:16 2004)

machinetype.......: 0x14c (I386)



( 6 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x2c0 0xdff56 0xdff60 6.42 ca8b4eee22711d790d8b55714f73fd9f

.data 0xe0220 0x429a4 0x429c0 2.11 9eb7dc1fc4e3af2272d61de0196b3f72

PAGESER 0x122be0 0x3f60 0x3f60 6.21 9b0df0c1e96268ed30e2eccacca4980a

INIT 0x126b40 0xc1a 0xc20 5.72 2b6d0fc6a1ac67c3c557c5f329e2c46b

.rsrc 0x127760 0x3e0 0x3e0 3.39 c8260fbed4799417fddfb799ccbfb584

.reloc 0x127b40 0xde5c 0xde60 6.74 663dd87adc38aa5a38ca1f9f3e9b1c44



( 3 imports )

> NTOSKRNL.EXE: MmLockPagableDataSection, KeSetEvent, ObReferenceObjectByHandle, PsCreateSystemThread, KeInitializeDpc, KeInitializeEvent, PsTerminateSystemThread, KeWaitForSingleObject, KeInsertQueueDpc, ExAllocatePoolWithTag, MmUnlockPagableImageSection, InterlockedIncrement, InterlockedExchange, InterlockedCompareExchange, memmove, ObfDereferenceObject, KeRemoveQueueDpc, PoSetPowerState, IoAttachDeviceToDeviceStack, IoCancelIrp, IofCompleteRequest, IofCallDriver, IoBuildSynchronousFsdRequest, IoIsWdmVersionAvailable, IoSetDeviceInterfaceState, PoStartNextPowerIrp, PoCallDriver, KeClearEvent, PoRequestPowerIrp, KeInitializeTimer, KeInitializeSpinLock, IoCreateDevice, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, RtlAppendUnicodeToString, RtlInitUnicodeString, RtlDeleteRegistryValue, IoDeleteSymbolicLink, IoRegisterDeviceInterface, RtlWriteRegistryValue, IoCreateSymbolicLink, ZwClose, IoOpenDeviceRegistryKey, IoDeleteDevice, KeCancelTimer, IoDetachDevice, IoCreateUnprotectedSymbolicLink, KeSynchronizeExecution, ZwOpenKey, RtlQueryRegistryValues, PoUnregisterSystemState, IoGetAttachedDeviceReference, PoRegisterSystemState, ZwWriteFile, ZwCreateFile, MmQuerySystemSize, IoReleaseCancelSpinLock, IoAcquireCancelSpinLock, DbgPrint, KeQuerySystemTime, KeSetTimer, IoGetDmaAdapter, IoBuildDeviceIoControlRequest, IoConnectInterrupt, IoDisconnectInterrupt, ExfInterlockedRemoveHeadList, ExfInterlockedInsertTailList, KeQueryTimeIncrement, KeTickCount, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, RtlInitAnsiString, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ZwQueryValueKey, wcschr, ZwCreateKey, ZwSetValueKey, MmUnmapIoSpace, MmMapIoSpace, RtlInitString, ZwEnumerateKey, IoGetDeviceObjectPointer, sprintf, ExFreePool

> HAL.DLL: KfReleaseSpinLock, KfAcquireSpinLock, KfRaiseIrql, KfLowerIrql, KeGetCurrentIrql

> ntoskrnl.exe: MmGetPhysicalAddress



( 0 exports )

RDS...: NSRL Reference Data Set

-

[alfonsito]

Informe de SynTP.sys 0%



nformación adicional

Tamano archivo: 186016 bytes

MD5...: 23fe1f173996b8bad4b9ed74003676d8

SHA1..: 071478c33818aa1af1fbfdaad625ce52e948349e

SHA256: 1660b16a84030bb8b3ad626b40c205ec7af5571bbf66b5aa7a0c8c9600db50eb

SHA512: 48822913ea670345f3c5c3ef82e92d39cb63b9976aed526036076e73b2ebeec9

e6063a34a3dd351482f14d6519dc67786ef4de0bfc545ebfa5d4fc5996a53ebf

ssdeep: 3072:budy+mJiSniPkFv7L3cavC8L3abkS0UyqIdQhBubOrmeSPJhmKbdrDyOsa:

qdy+RsFv7bc0CTbkSdYQhcbTfb

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x2ad60

timedatestamp.....: 0x418ae4e1 (Fri Nov 05 02:26:41 2004)

machinetype.......: 0x14c (I386)



( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x3e0 0x29261 0x29280 6.36 a73685d33718090b47450f7d3adced4c

.data 0x29660 0x16fc 0x1700 0.84 6fde27d0b4dbbd22899f30323c506f79

INIT 0x2ad60 0xa2a 0xa40 5.55 8de688a2005e7a11394e7f11decb43c7

.rsrc 0x2b7a0 0x3a0 0x3a0 3.32 156ca2254c594a1818136091cf2a2227

.reloc 0x2bb40 0x1b4a 0x1b60 6.34 7090c84ad82cb9a1a5c262796638ab58



( 3 imports )

> USBD.SYS: USBD_ParseConfigurationDescriptorEx, USBD_CreateConfigurationRequestEx

> ntoskrnl.exe: IoAttachDeviceToDeviceStack, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoStartNextPacket, IoReleaseRemoveLockEx, IofCompleteRequest, PoStartNextPowerIrp, IoAcquireRemoveLockEx, IofCallDriver, IoReleaseRemoveLockAndWaitEx, PoSetPowerState, PoCallDriver, IoCancelIrp, IoReleaseCancelSpinLock, IoReportResourceForDetection, IoFreeIrp, IoDeleteDevice, IoDetachDevice, IoDeleteSymbolicLink, IoRegisterShutdownNotification, RtlQueryRegistryValues, RtlCreateRegistryKey, RtlCheckRegistryKey, ZwClose, IoOpenDeviceRegistryKey, KeInitializeMutex, KeWaitForSingleObject, KeReleaseMutex, IoBuildSynchronousFsdRequest, KeInitializeEvent, IoInitializeIrp, IoAllocateIrp, ExQueueWorkItem, IoCreateSynchronizationEvent, IoCreateDevice, PsGetVersion, ObReferenceObjectByHandle, ExEventObjectType, IoUnregisterPlugPlayNotification, wcsstr, IoRegisterPlugPlayNotification, towlower, ZwEnumerateValueKey, ZwOpenKey, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, memmove, MmMapIoSpace, MmUnmapIoSpace, KeInsertQueueDpc, KeSynchronizeExecution, KeClearEvent, KeInitializeDpc, PoRequestPowerIrp, IoBuildDeviceIoControlRequest, ZwCreateSection, ZwMapViewOfSection, ZwUnmapViewOfSection, IoCreateNotificationEvent, KeSetTimer, KeCancelTimer, KeInitializeTimer, KeSetTimerEx, ExFreePoolWithTag, RtlCopyUnicodeString, RtlIntegerToUnicodeString, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlAppendUnicodeStringToString, ExAllocatePoolWithTag, ZwCreateFile, ZwWriteFile, RtlWriteRegistryValue, IoCreateSymbolicLink, IoInitializeRemoveLockEx, sprintf, KeQueryTimeIncrement, KeQuerySystemTime, _purecall, _allmul, _alldiv, KeSetEvent

> HAL.dll: KeStallExecutionProcessor, KeGetCurrentIrql, WRITE_PORT_UCHAR, READ_PORT_UCHAR, KfRaiseIrql, KfLowerIrql, KfReleaseSpinLock, KfAcquireSpinLock, KeQueryPerformanceCounter



( 0 exports )

RDS...: NSRL Reference Data Set

[msc hotline sat]

Pues no parece que sean malwares, de todas formas si algun antivirus detecta malwares en ellos, posteanos el informe de la parte complementaria a lo que has enviado, gracias



saludos



ms, 12-4-2009

[alfonsito]

No lo envie porque ninguno detectaba nada... De todos modos, si fuese un virus o algo similar, no afectaria a todos los usuarios por igual?? Habia pensado, que si no encontrabais alguna solucion alternativa, eliminar el usuario que da problemas y crear uno nuevo. Podria sacar los documentos que tengo en ese usuario y pasarlos al otro o eso podria hacer que el problema persista?? ..



Que paseis un buen dia festivo!!!

[msc hotline sat]

Suponiamos que era por ello, pero si no nos lo dices, es dificil adivinarlo ...



Y efectivamente, puede salvar los datos que le interesan y pasarlos a otro usuario, pocos virus se replicacrian por ello.



saludos



ms, 12-4-2009

[msc hotline sat]

En los ficheros recibidos como muestras no se detectan anomalias viricas.



Diganos si tras todo lo hecho hasta ahora persisten las anomalias o se han solucionado, gracias



saludos



ms, 14-4-2009

[alfonsito]

Los problemas persisten.. es algo muy raro porque no me permite hacer cosas muy basicas como poner un fondo de pantalla o cambiar los parametros para el ahorro de energia, borra directamente todo lo que envio a la papelera de reciclaje, no me deja instalar ninguna aplicacion.. ademas del hecho de que ha variado la configuracion del teclado. Pero lo mas raro de todo es que solo ocurre con un usuario, en el resto todo funciona perfectamente. Si no encontramos otra solucion, eliminare ese usuario y a ver si con un poquito de suerte no vuelve a repetirse el caso.



Muchas gracias por la ayuda prestada.



Un saludito

[msc hotline sat]

Pues ya cabe que sea algun fichero de sistema que se haya dañado o borrado, prueba con una REPARACION DE SISTEMA, y tras reiniciar nos cuentas el resultado:


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



saludos



ms, 15-4-2009