Problema con varios virus(neeris.A,mimail.netmon,cmm32) (CERRADO)

[neo64_00]

Buenas tardes.



Tengo un problema muy serio con virus, en una red con 10 computadoras, de las cuales 2 tienen la impresora y las demas imprimen en red, los problemas son:



1.Al iniciar windows aparece el siguiente mensaje: "svchost.exe-error de la aplicacion, la instruccion en 0x001f1cb0 hace referencia a la memoria en 0x48544950 la memoria no se puede written"

2.- Al cerrar este mensaje, inmediatamente aparece este otro: Generic Host process for win32 services a encontrado un problema y tuvo que cerrarse.

3.- despues de eso desaparece la barra de tareas, el sistema se alenta y se traba.

4.-el antivirus (Hauri) no reconoce ningun virus

5.-no imprime por red, solo la impresora local lo puede hacer, quita los mapeos de unidaddes.

6.-el elistara reconoce un virus como : spam-mailbot, antes de reiniciar, instale el service pack 3 en algunos equipos, en otros puse el service pack para el conficker.

7.- despues de esto imprime un rato, y despues vuelve a lo mismo(no imprime en red, solo local)

8. Elimine el virus de forma manual, ya que buscando vi que el virus se ejecuta como: netmon.exe en c:\windows\system32\netmon.exe y %system%\drivers\sysdrv32.sys

9.- el problema persiste,no se puede imprimir, corriendo un programa llamado procexp.exe,

10. si reinicio los equipos que tienen la impresora conectada fisicamente, todos pueden imprimir durante un periodo de 30 o 40 minutos, y despues nuevamente nadie puede imprimir solo localmente.

11.corro nuevamente el elistara y no encuentra nada.



Auxilio!!!!!!!!!!!!!!! :(

diganme que necesitan para ayudarme y con gusto posteo hijack o el log del elistara...



Gracias.

[julibaga]

Pues sí, postea los log que tienes del infosat y del [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[neo64_00]

aqui esta el sproces:

(6-5-2009 1:51:6)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Nombre Equipo: CRED_COB1_IMP

Nombre Usuario: lucia_vazquez



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\ASF AGENT\ASFAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\PCANYWHERE\AWHOST32.EXE

C:\WINDOWS\SYSTEM32\CISVC.EXE

C:\ARCHIVOS DE PROGRAMA\HAURI\VIROBOT DESKTOP 5.5\ACCESSCONTROL\HFACSVC.EXE

C:\ARCHIVOS DE PROGRAMA\HAURI\VIROBOT DESKTOP 5.5\HPCSVC.EXE

C:\ARCHIVOS DE PROGRAMA\HAURI\COMMON\HSVCMOD.EXE

C:\ARCHIVOS DE PROGRAMA\DELL\OPENMANAGE\CLIENT\IAP.EXE

C:\WINDOWS\SYSTEM32\R_SERVER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HAURI\VIROBOT DESKTOP 5.5\PCFIREWALL\VRFWSVC.EXE

C:\ARCHIVOS DE PROGRAMA\HAURI\COMMON\BASE\VRMONSVC.EXE

C:\ARCHIVOS DE PROGRAMA\HAURI\VIROBOT DESKTOP 5.5\PCFIREWALL\VRFWSOCK.EXE

C:\ARCHIVOS DE PROGRAMA\HAURI\COMMON\BASE\VRREPAIR.EXE

C:\SPROCES.EXE

C:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: IEHelpObj Class - {EC45E3FE-C16D-4F24-9238-D1B49AD74815} - C:\Archivos de programa\Hauri\ViRobot Desktop 5.5\Service\hWebMan.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs"

O4 - HKCU\..\RunOnce: [TSClientAXDisabler] cmd.exe /C "%systemroot%\Installer\TSClientMsiTrans\tscdsbl.bat"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [SiteClient] C:\Archivos de programa\Hauri\SiteClient\SiteCli.exe

O4 - HKLM\..\Run: [InitClient] C:\Archivos de programa\Hauri\SiteClient\InitCli.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [Vrmon] C:\Archivos de programa\Hauri\Common\Base\VrmonNT.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [HPUsageTracking] "C:\Archivos de programa\HP\HP UT\bin\hppusg.exe" "C:\Archivos de programa\HP\HP UT\"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_2] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmnetmgr.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_3] C:\WINDOWS\System32\regsvr32 /s /u "C:\WINDOWS\System32\wmv8dmod.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_4] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvdmod.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_5] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvdmoe2.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_6] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmadmoe.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_7] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmspdmod.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_8] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmspdmoe.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_9] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmoe.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_10] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmoe2.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_20] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmadmod.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_21] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mpg4dmod.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_22] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mp43dmod.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_23] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mp4sdmod.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_24] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmod.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_30] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\laprxy.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_31] "C:\WINDOWS\System32\logagent.exe" /RegServer

O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_32] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvcore.dll"

O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_1] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\drmstor.dll"

O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_2] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\drmclien.dll"

O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_4] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\drmv2clt.dll"

O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_5] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\blackbox.dll"

O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_6] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\msnetobj.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_0] C:\WINDOWS\INF\unregmp2.exe /MigrateLibrary

O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_1] "C:\Archivos de programa\Windows Media Player\migrate.exe" /s

O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_2] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmp.dll

O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_8] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmpshell.dll

O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_9] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmpasf.dll

O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_10] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmpdxm.dll

O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_11] C:\WINDOWS\system32\regsvr32 /s "C:\Archivos de programa\Windows Media Player\mpvis.dll"

O4 - HKLM\..\RunOnce: [OE_WMPWMDM_Install_7] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\mspmsnsv.dll

O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_20] C:\WINDOWS\INF\unregmp2.exe /Shortcuts /RegExts

O4 - HKLM\..\RunOnce: [KB923561] rundll32.exe apphelp.dll,ShimFlushCache

O4 - Startup: DESKTOP.INI

O4 - Global Startup: Acrobat Assistant.lnk

O4 - Global Startup: DESKTOP.INI

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D6986CAE-925D-4844-AE27-33DD170B8694}: NameServer = 200.33.146.193,200.33.146.201

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O20 - Winlogon Notify: PCANOTIFY - PCANOTIFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dllO23 - Service: dac2w2k

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll - Mylex Corporation - C:\WINDOWS\System32\DRIVERS\dac2w2k.sys

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll



O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Archivos de programa\Intel\ASF Agent\ASFAgent.exe

O23 - Service: pcAnywhere Host Service (awhost32)* - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe*O23 - Service: dmboot

- Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

**O23 - Service: DeviceLock Service (Device Lock)O23 - Service: hpt3xx - - Unknown owner - C:\Archivos de programa\DeviceLock\DLService.exeHighPoint Technologies, Inc. - C:\WINDOWS\System32\DRIVERS\hpt3xx.sys

(file missing)

O23 - Service: ViRobot for WinNT(tm) Folder Protect (HFACSVC) - hauri - C:\Archivos de programa\Hauri\ViRobot Desktop 5.5\AccessControl\HFACSvc.exe

O23 - Service: ViRobot Communication Service (hpcsvc) - HAURI - C:\Archivos de programa\Hauri\ViRobot Desktop 5.5\hpcsvc.exe

O23 - Service: Hauri Common Service (hsvcmod) - HAURI Inc. - C:\Archivos de programa\Hauri\Common\hsvcmod.exe

O23 - Service: mraid35x - American Megatrends Inc. - C:\WINDOWS\System32\DRIVERS\mraid35x.sys

O23 - Service: Iap - Dell Computer Corporation - C:\Archivos de programa\Dell\OpenManage\Client\Iap.exe

O23 - Service: NetAlrt - Intel Corporation - C:\WINDOWS\System32\drivers\NetAlrt.sys

O23 - Service: PlatAlrt - Intel Corporation - C:\WINDOWS\System32\drivers\PlatAlrt.sys

O23 - Service: ql1080 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql1080.sys

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe

O23 - Service: ql12160 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql12160.sys

O23 - Service: ql1280 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql1280.sys

O23 - Service: Filtro de bus SIS AGP (sisagp)O23 - Service: Hauri Firewall (vrfwsvc) - Silicon Integrated Systems Corporation - C:\WINDOWS\System32\DRIVERS\sisagp.sys - Hauri inc. - C:\Archivos de programa\Hauri\ViRobot Desktop 5.5\PCFirewall\vrfwsvc.exe



O23 - Service: ViRobot Desktop Monitoring (vrmonsvc) - HAURI - C:\Archivos de programa\Hauri\Common\Base\vrmonsvc.exe

O23 - Service: Sparrow - Adaptec, Inc. - C:\WINDOWS\System32\DRIVERS\sparrow.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: O23 - Service: Servicio de instalación del controlador de audio (WDM) de Intel(r) 82801 (ac97intc)symc810 - - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sysSymbios Logic Inc. - C:\WINDOWS\System32\DRIVERS\symc810.sys



O23 - Service: aeaudioO23 - Service: symc8xx - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys - LSI Logic - C:\WINDOWS\System32\DRIVERS\symc8xx.sys



O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\System32\DRIVERS\sym_hi.sys

O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\System32\DRIVERS\sym_u3.sys

O23 - Service: ultra - Promise Technology, Inc. - C:\WINDOWS\System32\DRIVERS\ultra.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO/1000 Adapter Driver (E1000) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1000nt5.sys

O23 - Service: Controlador de adaptador 3Com EtherLink XL 90XB/C (EL90XBC) - 3Com Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\el90xbc5.sys



53 Servicios.

14 de Carga Automatica.

20 de Carga Manual.

19 Deshabilitados.

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: NIC Management Service Configuration Driver (NMSCFG) - Intel Corporation - C:\WINDOWS\system32\drivers\NMSCFG.SYS

O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: nv4 - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: SymEvent - Symantec Corporation - C:\Archivos de programa\Symantec\SYMEVENT.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: VrAcFil - HAURI - C:\WINDOWS\system32\drivers\vracfil.sys

O23 - Service: VRADFIL - HAURI - C:\WINDOWS\system32\drivers\VRADFIL.SYS

O23 - Service: ViRobot Repairing Service (vrrepair) - HAURI - C:\Archivos de programa\Hauri\Common\Base\vrrepair.exe

O23 - Service: VRsecos - HAURI - C:\WINDOWS\system32\drivers\VRsecos.sys

O23 - Service: Intel(R) Graphics Chipset (KCH) Driver ({D31A0762-0CEB-444e-ACFF-B049A1F6FE91}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmkchw.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: AliIde - Acer Laboratories Inc. - C:\WINDOWS\System32\DRIVERS\aliide.sys

O23 - Service: Controlador de filtro de bus AMD AGP (amdagp) - Advanced Micro Devices, Inc. - C:\WINDOWS\System32\DRIVERS\amdagp.sys

O23 - Service: asc - Advanced System Products, Inc. - C:\WINDOWS\System32\DRIVERS\asc.sys

O23 - Service: asc3550 - Advanced System Products, Inc. - C:\WINDOWS\System32\DRIVERS\asc3550.sys

O23 - Service: CmdIde - CMD Technology, Inc. - C:\WINDOWS\System32\DRIVERS\cmdide.sys

O23 - Service: dac2w2k - Mylex Corporation - C:\WINDOWS\System32\DRIVERS\dac2w2k.sys

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: hpt3xx - HighPoint Technologies, Inc. - C:\WINDOWS\System32\DRIVERS\hpt3xx.sys

O23 - Service: mraid35x - American Megatrends Inc. - C:\WINDOWS\System32\DRIVERS\mraid35x.sys

O23 - Service: ql1080 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql1080.sys

O23 - Service: ql12160 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql12160.sys

O23 - Service: ql1280 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql1280.sys

O23 - Service: Filtro de bus SIS AGP (sisagp) - Silicon Integrated Systems Corporation - C:\WINDOWS\System32\DRIVERS\sisagp.sys

O23 - Service: Sparrow - Adaptec, Inc. - C:\WINDOWS\System32\DRIVERS\sparrow.sys

O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\System32\DRIVERS\symc810.sys

O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\System32\DRIVERS\symc8xx.sys

O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\System32\DRIVERS\sym_hi.sys

O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\System32\DRIVERS\sym_u3.sys

O23 - Service: ultra - Promise Technology, Inc. - C:\WINDOWS\System32\DRIVERS\ultra.sys



53 Servicios.

14 de Carga Automatica.

20 de Carga Manual.

19 Deshabilitados.





Gracias.

[julibaga]

Te hace lo mismo si desinstalas el antivirus hauri?

[msc hotline sat]

Sí, como indica julibaga, mejor desinstalar totalmemnte el Hauri desde Panel de Control ->Agregar o quitar programas, para que no interfiera.



Y todas estas claves, si no son voluntarias ni las conoces, eliminalas:



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_2] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmnetmgr.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_3] C:\WINDOWS\System32\regsvr32 /s /u "C:\WINDOWS\System32\wmv8dmod.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_4] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvdmod.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_5] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvdmoe2.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_6] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmadmoe.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_7] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmspdmod.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_8] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmspdmoe.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_9] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmoe.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_10] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmoe2.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_20] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmadmod.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_21] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mpg4dmod.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_22] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mp43dmod.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_23] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mp4sdmod.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_24] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmod.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_30] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\laprxy.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_31] "C:\WINDOWS\System32\logagent.exe" /RegServer



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_32] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvcore.dll"



O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_1] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\drmstor.dll"



O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_2] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\drmclien.dll"



O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_4] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\drmv2clt.dll"



O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_5] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\blackbox.dll"



O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_6] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\msnetobj.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_0] C:\WINDOWS\INF\unregmp2.exe /MigrateLibrary



O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_1] "C:\Archivos de programa\Windows Media Player\migrate.exe" /s



O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_2] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmp.dll



O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_8] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmpshell.dll



O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_9] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmpasf.dll



O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_10] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmpdxm.dll



O4 - HKLM\..\RunOnce: [OE_WMPWMDM_Install_7] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\mspmsnsv.dll







Y envianos este fichero para analizar:



C:\WINDOWS\INF\unregmp2.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 6-5-2009

[neo64_00]

Listo ya fue enviado el archivo solicitado..

Por favor podrian ayudarme a decirme con que programa puedo borrar estos registros?:



[u][b]Y todas estas claves, si no son voluntarias ni las conoces, eliminalas:



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_2] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmnetmgr.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_3] C:\WINDOWS\System32\regsvr32 /s /u "C:\WINDOWS\System32\wmv8dmod.dll"



O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_4] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvdmod.dll" [/b][/u]





Quite el antivirus Hauri, corri el elistara y sigue marcando los mismos errores (no deja imprimir en red o solo imprime por ratos)

Gracias!

[msc hotline sat]

Con el HJT, igual que eliminaste las otras, pero si es que no ves dichas claves, prueba el Buscareg:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]





SALUDOS



MS, 6-5-2009

[neo64_00]

Efectivamente no me aparecen en el hijack, voy a probar con este que me indicas.

Gracias.

[msc hotline sat]

Al ser RUNONCE igual ya no estan, pues son de ejecutar una sola vez, pero ya que estaban antes, igual tienes algo que las regenera, por esto te sugería eliminarlas, y para ello, por ejemplo para la primera, entra en el BUSCAREG la palabra wmnetmgr.dll y cuando la encuentre , doble click sobre lo encontrado y aceptas en ELIMINAR



y nos cuentas el resultado, gracias



saludos



ms, 6-5-2009

[neo64_00]

Efectivamente ya no me aparecian los registros, con el buscareg los elimine y este es el resultado:



wmnetmgr.dll borrada

wmv8dmod.dll borrada

wmvdmod.dll no encontrada

wmvdmoe2.dll borrada

wmadmoe.dll borrada

wmspdmod.dll no encontrada

wmspdmoe.dll borrada

wmsdmoe.dll borrada

wmsdmoe2.dll no encontrada

wmadmod.dll borrada

mpg4dmod.dll borrada

mp43dmod.dll borrada

mp4sdmod.dll borrada

wmsdmod.dll borrada

laprxy.dll borrada

RegServer no encontrada

wmvcore.dll borrada

drmstor.dll borrada

drmclien.dll no encontrada

drmv2clt.dll no encontrada

blackbox.dll no encontrada

msnetobj.dll no encontrada

MigrateLibrary si

migrate.exe no encontrada

wmp.dll no encontrada

wmpshell.dll no encontrada

wmpasf.dll si

wmpdxm.dll si

mspmsnsv.dll no encontrada





Reinicie y ya puede imprimir, estara en observacion a ver si en 30 o 40 minutos no vuelve a lo mismo.

¿Hay alguna otra cosa que deberia hacer?

¿debo correr lo mismo en todos los equipos?



Gracias.

[flacoroo]

asi es lo mismo consejos que te dieron para la primera computadora, hazlo para las demas y si checando si no tienes problemas

[neo64_00]

Ok, el problema persiste de otros equipos, no asi del equipo que tiene conectada la impresora y es en la que realize todos los pasos anteriormente mencinados, voy a realizarlos en un otro equipo de los que no tiene fisicamente la impresora.

Gracias y aviso en un rato como fue.

[neo64_00]

Informo:



En TODOS mis equipos corri el buscareg, seleccionado un dll al azar de los que me dijeron que quitara, y en todas encontre los archivos de los registros....

¿[b][i]H[/i][/b]abra alguna manera de hace algun ejecutable para que se borren o algo asi? si no no me quedara de otra que hacerlo manualmente...



Gracias.

[julibaga]

MMMMmmmmmm.... pues creo que vas a tener que hacerlo manualmente.. :roll:

[msc hotline sat]

Entiendo que preguntas si algo puede haber borrado los ficheros que lanzan estas claves, y si es esi, sí, hay muchos malwares que van cambiando de nombre para pasar desapercibidos, y eliminan el fichero antiguo y en su lugar ponen otro igual con otro nombre, pero se olvidan de limpiar el registro con las claves para los anteriores.



saludos



ms, 7-5-2009

[msc hotline sat]

Indicado en privado por julibaga que mas bien preguntas si una utilidad podría eliminar estas claves automaticamente, se podría si aun existieran dichos ficheros, una vez detectados por cadenas, eliminar las claves que contuvieran sus nombres, pero si ya han sido eliminados, no hay base para determinar cuales eliminar, pues si nos ponemos a eliminar todos los nombres raros... seguro que eliminaríamos mas de buenas que de malas ! :wink:



Y con lo facil que es, bien con el mismo HJT, bien con el BUSCAREG o bien con el ELISERV si son de servicios, el eliminar las claves que se quiera... , tampoco es cuestión de arriesgarnos a eliminar lo que no es.



saludos



ms, 7-5-2009

[msc hotline sat]

Y recibido el fichero solicitado para analizar, la unica deteccion es con:



McAfee-GW-Edition 6.7.6 2009.05.07 Win32.LooksLike.Virut



lo cual si le funcionan nuestras utilidades ELI*.* quiere decir que no tiene dicho VIRUT pululando, pues de lo contrario habrian sido modificadas y alertarían de cambio de checksum, asi que si es que lo tuvo puede que se trate de un fichero afectado por dicho virus (que deja muchos ficheros "tocados") y sino, simplemente de un falso positivo de una deteccion heuristica.



Si diera algun problema, sustituirlo o instalar de nuevo el WMP del cual forma parte.



saludos



ms, 7-5-2009

[neo64_00]

Muchas gracias por contestar, pero la pregunta es, si tengo que correr el buscareg y buscar cada registro en cada equipo, ¿hay alguna forma de hacerlo automatizado? ya que me quita mucho tiempo estar en cada equipo buscando cada registro 1x1..



Gracias y saludos





Edito-----------------------------------------------------------------------------------

Gracias no habia leido los ultimos dos post, entonces, ¿debo borrar los mismos archivos del log que les envie? ya que todos esos archivos me aparecen en todos los equipos, efectivamente forma parte del wmp, pero en la empresa no esta permitido usarlo, asi que, ¿no deberia de existir problema si los borro de todos los equipos?

Hice un scan con el elitrip, y el elitrip me detecta un archivo llamado winupdate.exe...

Entonces estos son los pasos que estoy haciendo en cada equipo:

1.- Scanear con elistara.

2.- Reiniciar.

3.- Instalar parches que hagan falta de windows updates

4.- Reiniciar

5.- Correr el elitrip

6.- reiniciar

7.- correr buscareg y seleccionar los archivos del primer log del sproces.

8.- Reiniciar.



Hasta el momento esto me ha dado resultado, cualquier cosa les aviso



Gracias.!!

[msc hotline sat]

No es tanto, y quien algo quiere, algo le cuesta :wink:



Si no lo haces, igual no pasa nada, es solo basura, pero si alguno de estos ficheros aun existe, se cargará en memoria...



Pero si las ves con el HJT, marcas las casillas de la izquierda de cada una y de golpe le dices FIX CHECKED.



saludos



ms, 7-5-2009

[neo64_00]

Lo raro es, que si no lo hago, imprime 30 o 40 minutos y despues ya nadie puede imprimir, el siguiente problema de hacerlo manual es que, tengo 15 redes en diferentes sitios del pais, cada una ve a las demas, esto me da un total de 150 equipos aproximadamente y todos con el problema de la impresion.... :cry:



En menudo lio estoy metido verdad... El soporte lo doy via remota con el vnc o el remote admin, por eso de la perdida de tiempo al hacer este busca reg....



Bueno pues Seguire trabajando en ello, muchas gracias y cualquier cosa yo aviso.



Nota: el Hijack no detecta esos registros... :(

[neo64_00]

NOOOOOOOOOO el problema persiste, nadie puede imprimir otra vez....lo raro es que se cuelgan todas la impresoras al mismo tiempo...

que mas puedo hacer??



Gracias.......

[neo64_00]

Gracias por la ayuda, se puede cerrar el tema, aunque no se haya solucionado mi problema y aunque ya me hayan dejado aqui tirado.

[msc hotline sat]

Mas bien no ha habido nada que decirle, pero despues de las respuestas y sugerencias que le hemos dado, decir que le hemos dejado tirado, no es lo mas apropiado!



En cualquier caso, tal como dice que "tengo 15 redes en diferentes sitios del pais, cada una ve a las demas, esto me da un total de 150 equipos aproximadamente" debe tener un servicio tecnico contratado que sabrá sus intringulis, mejor expongale el problema, ya que es quien podrá ayudarle "in situ".



Y si bien hubieramos seguido intentando ayudarle, dado lo que indica, procedemos a cerrar el Tema.



saludos



ms, 9-5-2009

ref MX/DF+19.4342-99.1386