Laptop Dell que repentinamente se apaga o se enciende

[undertaker_ni]

Saludos, Bueno estoy al borde de la desesperación he posteado mi problema en otros foros de soporte sobre virus y nadie me ha podido ayudar, ya que nadie me responde, por eso recurro a ustedes porque necesito de su ayuda.



Sucede que tengo una Laptop Dell que repentinamente se apaga o se enciende, debido a esto decidi realizar un scan con NOD32 y me arrojo el siguiente virus: [b]Win32/peerfrag.AQ gusano [/b]después hicé un scan con el [b]Malwarebytes' Anti-Malware 1.36[/b] y me arrojó esto: [b]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot)[/b] traté de eliminar la clave manualmente y no lo conseguí luego usé el regassesin y me aparece que no existe

esa clave, pasé el [b]Superantispyware[/b] y me detecta unas cokiees, las que eliminé y pero sigo con el mismo virus, ya desactive restaurar sistema y ejecute en modo a prueba de fallastambién pase el [b]flash desinfector[/b], y sigo con el mismo problema, a continuación dejo el log del [b]AntiMalware[/b] y del [b]Hijackthis[/b]. Qué puedo hacer? cómo hago para eliminar a este gusano? Por favor necesito de su ayuda. Gracias por su ayuda.



Malwarebytes' Anti-Malware 1.36

Versión de la Base de Datos: 2112

Windows 5.1.2600 Service Pack 2



11/05/2009 10:08:42 p.m.

mbam-log-2009-05-11 (22-08-31).txt



Tipo de examen : Examen Rápido

Objetos examinados: 73763

Tiempo transcurrido: 3 minute(s), 47 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 1

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 0



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)



Valores del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> No action taken.



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

(No se han detectado elementos maliciosos)





================================================== ========

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:02:32 p.m., on 11/05/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.ni

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\YTSingle Instance.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [SigmatelSysTrayApp] "C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [imekrmig7.0] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\IME\IMKR7\IMEKRMIG.EXE"

O4 - HKLM\..\Run: [IMSCMig] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\IME\IMSC40A\IMS CMIG .EXE" /Preload

O4 - HKLM\..\Run: [CJIMETIPSYNC] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE" /CJIMETIPSync

O4 - HKLM\..\Run: [PHIMETIPSYNC] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE" /PHIMETIPSync

O4 - HKLM\..\Run: [IMJPMIG9.0] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\IME\IMJP9\IMJPM IG.E XE" /Preload /Migration32

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://172.16.70.16/CitrixSessionInit/ICAWEB/es/ica32/wficat.cab

O16 - DPF: {7E0FDFBB-87D4-43A1-9AD4-41F0EA8AFF7B} (Net6Launcher Class) - https://portal.icco.nl/net6helper.cab

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = icco.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = icco.local

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = icco.local

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: lmab_device - Unknown owner - C:\WINDOWS\system32\LMabcoms.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe

O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

[julibaga]

Bájate las siguientes utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.

Y para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[undertaker_ni]

Saludos, bueno pues comento segui las recomendaciones que se me indicaron, y no he conseguido ningun resultado, a continuacion dejo el log que se pidio:





(12-5-2009 4:16:19)

EliBagle v12.53 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(12-5-2009 4:16:23)

EliBagle v12.53 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3232

Nº Total de Ficheros: 32790

Nº de Ficheros Analizados: 9474

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(13-5-2009 01:24:38)

EliStartPage v18.54 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(13-5-2009 01:24:57)

EliStartPage v18.54 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 3271

Nº Total de Ficheros: 30904

Nº de Ficheros Analizados: 13356

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(13-5-2009 01:29:14)

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"

No detectado SP3 de Windows XP



(13-5-2009 01:29:22)

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3270

Nº Total de Ficheros: 30905

Nº de Ficheros Analizados: 12176

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[undertaker_ni]

y aca dejo el log del sprocess:

(13-5-2009 1:31:7)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: JENNNIFER

Nombre Usuario: DELL



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

F:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.ni

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 124.217.248.254 bancomer.com

O1 - Hosts: 124.217.248.254 www.bancomer.com

O1 - Hosts: 124.217.248.254 bancomer.com.mx

O1 - Hosts: 72.232.248.18 bancodecredito.com

O1 - Hosts: 72.232.248.18 www.bancodecredito.com

O1 - Hosts: 72.232.248.18 bancocajasocial.com.co

O1 - Hosts: 72.232.248.18 www.bancocajasocial.com.co

O1 - Hosts: 72.232.248.18 bancodeoccidente.com.co

O1 - Hosts: 72.232.248.18 www.bancodeoccidente.com.co

O1 - Hosts: 72.232.248.18 banesco.com

O1 - Hosts: 72.232.248.18 www.banesco.com

O1 - Hosts: 72.232.248.18 colmena.com.co

O1 - Hosts: 72.232.248.18 www.colmena.com.co

O1 - Hosts: 72.232.248.18 davivienda.com

O1 - Hosts: 72.232.248.18 www.davivienda.com

O1 - Hosts: 67.159.50.139 grupobancolombia.com

O1 - Hosts: 67.159.50.139 www.grupobancolombia.com

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [Push Client] C:\Documents and Settings\DELL\Configuración local\Datos de programa\ATT Connect\Participant\pull.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [SigmatelSysTrayApp] "C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [imekrmig7.0] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\IME\IMKR7\IMEKRMIG.EXE"

O4 - HKLM\..\Run: [IMSCMig] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE" /Preload

O4 - HKLM\..\Run: [CJIMETIPSYNC] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE" /CJIMETIPSync

O4 - HKLM\..\Run: [PHIMETIPSYNC] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE" /PHIMETIPSync

O4 - HKLM\..\Run: [IMJPMIG9.0] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE" /Preload /Migration32

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://172.16.70.16/CitrixSessionInit/ICAWEB/es/ica32/wficat.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {7A162288-DE78-473C-A6BA-23FF17F768E9} (AxWebInstaller Control) - http://teachforce.interwise.com/teachforce/Application/EventEntry/AxWebInstaller.cab

O16 - DPF: {7E0FDFBB-87D4-43A1-9AD4-41F0EA8AFF7B} (Net6Launcher Class) - https://portal.icco.nl/net6helper.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - %systemroot%\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.7.5.0 (AegisP) - Cisco Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: rimmptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimmptsk.sys

O23 - Service: rimsptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimsptsk.sys

O23 - Service: Ricoh xD-Picture Card Driver (rismxdp) - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rixdptsk.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Transporte WLAN (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe

O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: catchme - Unknown owner - C:\DOCUME~1\DELL\CONFIG~1\Temp\catchme.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: EMP_UDMR - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\EMP_UDMr.sys

O23 - Service: EPSON Projector UD Audio Device (eppvad_simple) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\EMP_UDAU.sys (file missing)

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWAZL.sys

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DPV.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: lmab_device - Unknown owner - C:\WINDOWS\system32\LMabcoms.exe

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\system32\drivers\mbam.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Net6 (Net6IM) - Citrix Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\net6im51.sys

O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link para Windows XP de 32 bits (NETw4x32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw4x32.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SigmaTel High Definition Audio CODEC (STHDA) - SigmaTel, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller (yukonwxp) - Marvell - C:\WINDOWS\SYSTEM32\DRIVERS\yk51x86.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



37 Servicios.

16 de Carga Automatica.

20 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues de entrada, antes de que se apague, :wink: , lanza un windowsupdate y actualiza los parches de microsoft, que te faltan un monton ...(incluido el del conficker !!!)



Platform: Windows XP SP2 (WinNT 5.01.2600)



y elimina todas estas claves:



O1 - Hosts: 124.217.248.254 bancomer.com



O1 - Hosts: 124.217.248.254 www.bancomer.com



O1 - Hosts: 124.217.248.254 bancomer.com.mx



O1 - Hosts: 72.232.248.18 bancodecredito.com



O1 - Hosts: 72.232.248.18 www.bancodecredito.com



O1 - Hosts: 72.232.248.18 bancocajasocial.com.co



O1 - Hosts: 72.232.248.18 www.bancocajasocial.com.co



O1 - Hosts: 72.232.248.18 bancodeoccidente.com.co



O1 - Hosts: 72.232.248.18 www.bancodeoccidente.com.co



O1 - Hosts: 72.232.248.18 banesco.com



O1 - Hosts: 72.232.248.18 www.banesco.com



O1 - Hosts: 72.232.248.18 colmena.com.co



O1 - Hosts: 72.232.248.18 www.colmena.com.co



O1 - Hosts: 72.232.248.18 davivienda.com



O1 - Hosts: 72.232.248.18 www.davivienda.com



O1 - Hosts: 67.159.50.139 grupobancolombia.com



O1 - Hosts: 67.159.50.139 www.grupobancolombia.com





ya que redirigen a :



124.217.248.254 MY Malaysia 01 Johor Johor Bahru 1.4667 103.7500 PIRADIUS NET PIRADIUS NET



que está en Malasia...







72.232.248.18 US United States TX Texas Plano 75093 33.0347 -96.8134 Layered Technologies Layered Technologies 623 972



que esta en black list : http://whois.domaintools.com/72.232.248.18







67.159.50.139 US United States IL Illinois Woodstock 60098 42.3222 -88.4671 FDCservers.net FDCservers.net 602 815





y envianos estos ficheros desconocidos para analizar:



C:\WINDOWS\SYSTEM32\DRIVERS\EMP_UDMr.sys



C:\WINDOWS\SYSTEM32\drivers\EMP_UDAU.sys (tiene atributo de oculto)







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 13-5-2009

[undertaker_ni]

Saludos, gracias, en cuanto pueda enviaré la muestra de los archvos solicitados, debido a que este momento la tuvimos que mandar fuera de donde yo estoy, en cuanto la tenga en mis manos enviaré los archivos y gracias por su colaboración.

[msc hotline sat]

Ningun problema.



Dejamos el Tema abierto, pendientes de sus noticias.



saludos



ms, 14-5-2009

[undertaker_ni]

Saludos, recien acabo de enviar las muestras que me solicitaron. En espera de su valiosa ayuda. Gracias.

[msc hotline sat]

Pues mañana, de vuelta al trabajo en SATINFO, los analizaremos e informaremos.



Mientras, si quieres, puedes adelantar subiendolos al VirusTotal y poosteandonos el resultado del informe:



www.virustotal.com/es



Segun lo que veamos, añadiremos .VIR a su extension, para que tras reiniciar ya no se pongan en uso, pero ya veremos...



saludos



ms, 17-5-2009