Problema con Troyano "Agent.DPE"

kemasa · Mensaje por **kemasa** » 11 May 2009, 03:03

Hola!

me entro un troyano "agent.DPE", el cual me anulo el anitivirus y no me deja instalar ningun antivirus ( intente con el PANDA, BITDefender ). Al mismo lo detecte con el PANDA ON LINE, y lo elimina, pero vuelve aparecer.

Tambien pase el Elistar y Elitrip ( pego el informe ) que tambien lo detecto, y lo elimino, pero cada vez q vuelvo a pasar el PANDA ON LINE lo vuelve a detectar .

Espero q me puedan ayudar!!!

Muchas Gracias!!

Saludos

10-5-2009 06:01:43)

EliStartPage v18.57 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\a2service.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ArcaCheck.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\arcavir.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ashDisp.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ashEnhcd.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ashServ.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ashUpd.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\aswUpdSv.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\autoruns.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avadmin.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avcenter.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avcls.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avconfig.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avconsol.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avgnt.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avgrssvc.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avguard.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\AvMonitor.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avp.com"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avp.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\AVP32.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avscan.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avz.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avz4.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avz_se.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\bdagent.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\bdinit.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\caav.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\caavguiscan.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\casecuritycenter.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\CCenter.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ccupdate.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\cfp.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\cfpupdat.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\cmdagent.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\drwadins.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\DRWEB32.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\drwebupw.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ekrn.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\FAMEH32.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\filemon.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\FPAVServer.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\fpscan.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\FPWin.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\fsav32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\fsgk32st.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\FSMA32.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\GFRing3.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\guardgui.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\guardxservice.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\guardxup.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\HijackThis.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KASMain.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KASTask.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KAV32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KAVDX.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KAVPF.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KAVPFW.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KAVStart.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KPFW32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KPFW32X.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Navapsvc.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Navapw32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\navigator.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\NAVNT.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\NAVSTUB.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\NAVW32.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\NAVWNT.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\niu.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\nod32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\nod32krn.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Nvcc.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\OllyDBG.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\outpost.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\preupd.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\procexp.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\pskdr.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\regedit.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\regmon.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\RegTool.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\scan32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\SfFnUp.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Vba32arkit.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\vba32ldr.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\vsserv.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Zanda.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\zapro.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Zlh.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\zonealarm.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\zoneband.dll"

"Debugger"="NTSD -D"

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(10-5-2009 06:02:23)

EliStartPage v18.57 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Nº Total de Directorios: 3438

Nº Total de Ficheros: 27264

Nº de Ficheros Analizados: 8250

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Mensaje por **msc hotline sat** » 11 May 2009, 05:42

Es un Trojan Downloader con Rootkit que puede ocultarse y no terminarse de eliminar facilmente.

Ademas intercepta con una clave de debugger cualquier fichero ejecutable que se ejecuta, como puedes ver en el informe:

Sospechosa Clave "HKLM\...\Image File Execution Options\a2service.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ArcaCheck.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\arcavir.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ashDisp.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ashEnhcd.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ashServ.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ashUpd.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\aswUpdSv.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\autoruns.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avadmin.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avcenter.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avcls.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avconfig.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avconsol.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avgnt.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avgrssvc.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avguard.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\AvMonitor.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avp.com"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avp.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\AVP32.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avscan.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avz.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avz4.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\avz_se.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\bdagent.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\bdinit.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\caav.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\caavguiscan.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\casecuritycenter.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\CCenter.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ccupdate.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\cfp.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\cfpupdat.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\cmdagent.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\drwadins.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\DRWEB32.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\drwebupw.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\ekrn.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\FAMEH32.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\filemon.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\FPAVServer.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\fpscan.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\FPWin.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\fsav32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\fsgk32st.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\FSMA32.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\GFRing3.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\guardgui.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\guardxservice.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\guardxup.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\HijackThis.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KASMain.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KASTask.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KAV32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KAVDX.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KAVPF.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KAVPFW.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KAVStart.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KPFW32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\KPFW32X.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Navapsvc.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Navapw32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\navigator.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\NAVNT.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\NAVSTUB.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\NAVW32.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\NAVWNT.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\niu.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\nod32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\nod32krn.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Nvcc.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\OllyDBG.EXE"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\outpost.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\preupd.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\procexp.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\pskdr.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\regedit.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\regmon.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\RegTool.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\scan32.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\SfFnUp.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Vba32arkit.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\vba32ldr.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\vsserv.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Zanda.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\zapro.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\Zlh.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\zonealarm.exe"

"Debugger"="NTSD -D"

Sospechosa Clave "HKLM\...\Image File Execution Options\zoneband.dll"

"Debugger"="NTSD -D"

Descarga el SPROCES.EXE, luego arranca en modo seguro y, tras probarlo, nos posteas el informe resultante

[quote="msc escribió"]
~~[b]~~SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos tratando de saber cual es el fichero que utiliza para dicha interceptacion, e informaremos al respecto.

saludos

ms, 11-5-2009

NOTA: Si el antivirus, al escanear, te dice que es siempre el mismo, envianoslo para analizar:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 11-5-2009

Mensaje por **msc hotline sat** » 11 May 2009, 05:58

Y visto que dice : ~~[b]~~[i]No detectado SP3 de Windows XP[/i][/b]

Por si acaso, lanza un windowsupdate e instala los parches que encuentre a faltar, SP3 y posteriores...

saludos

ms, 11-5-2009

kemasa · Mensaje por **kemasa** » 11 May 2009, 15:50

Hola!!!

Pase el SProces en modo seguro y remito el informe ( en el mismo elimine "O1 - Hosts: 127.0.0.1 localhost" reportes similares a este pero con direcciones web, dado que el con esto era de 432633 caracteres y el maximo permitido es de 100.000)

por otro lado insale un par de parches que me faltaban y SP3 no dado que me me permite por el tipo de copia de mi Win XP.

(11-5-2009 13:15:35)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: MS1

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

D:\03 PROGRAMAS\ANTIVIRUS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.ar

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Archivos de programa\BitDefender\BitDefender 2009\IEToolbar.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe

O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe

O4 - HKLM\..\Run: [EKIJ5000StatusMonitor] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe

O4 - HKLM\..\Run: [PSUNMain] "C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar

O4 - HKLM\..\Run: [BDWizReg] "C:\Archivos de programa\BitDefender\BitDefender 2009\bdwizreg.exe" /complete

O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\BitDefender\BitDefender 2009\bdagent.exe"

O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Archivos de programa\BitDefender\BitDefender 2009\IEShow.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: Acer Empowering Technology.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: BDVEDISK - BitDefender S.R.L. - C:\Archivos de programa\BitDefender\BitDefender 2009\BDVEDISK.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Servicio Google Update (gupdate1c99d4135a8efce) (gupdate1c99d4135a8efce) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Kodak AiO Device Service (KodakSvc) - Eastman Kodak Company - C:\Archivos de programa\Kodak\printer\center\KodakSvc.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\livesrv.exe

O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe

O23 - Service: PSINAflt - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINAflt.sys

O23 - Service: PSINFile - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINFile.sys

O23 - Service: PSINProc - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINProc.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Host de dispositivo Plug and Play universal upnphostNla (upnphostNla) - Unknown owner - C:\WINDOWS\system32\acledits.exe (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Archivos de programa\BitDefender\BitDefender 2009\vsserv.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Atheros Wireless Network Adapter Service (AR5211) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5211.sys

O23 - Service: BitDefender Arrakis Server (Arrakis3) - Unknown owner - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe

O23 - Service: BDFM (bdfm) - BitDefender S.R.L. Bucharest, ROMANIA - C:\WINDOWS\SYSTEM32\drivers\bdfm.sys

O23 - Service: BitDefender Firewall NDIS Filter Service (Bdfndisf) - BitDefender LLC - C:\WINDOWS\SYSTEM32\DRIVERS\bdfndisf.sys

O23 - Service: bdfsfltr - BitDefender S.R.L. Bucharest, ROMANIA - C:\WINDOWS\SYSTEM32\drivers\bdfsfltr.sys

O23 - Service: Dritek Keyboard Filter Driver (DKbFltr) - Dritek System Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\DKbFltr.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Messenger 310 (PAC7302) - PixArt Imaging Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PAC7302.SYS

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: Scientific-Atlanta USB Cable Modem Driver (USBCM) - - C:\WINDOWS\SYSTEM32\DRIVERS\Sacm2A.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

36 Servicios.

13 de Carga Automatica.

22 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 11 May 2009, 16:24

Bingo !

Ahí lo tenemos: C:\WINDOWS\system32\acledits.exe

Arranca en modo seguro, añade .VIR a este fichero y tras reiniciar normalmente envianoslo para analizar y controlar:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlo, lo analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 11-5-2009

kemasa · Mensaje por **kemasa** » 11 May 2009, 21:48

Hola!!

Quise enviar el archivo que me indicaron, pero antes elimine un archivo que era un video para celular que habia bajado, y cuando pase el panda on line no me lo detecto, busque el archivo y no lo encontre. Puede ser que lo haya eliminado cuando elimine ese archivo??

Por otro lado pude instalar el Panda cloud antivirus, es bueno? o me recomiendan otro? Antes tenia el NOD32 pero este troyano me lo bloqueo.

muchas Gracias

Saludos.

Mensaje por **msc hotline sat** » 12 May 2009, 09:23

Mira si con el ELIMOVER encuentra este C:\WINDOWS\system32\acledits.exe y lo copia C:\muestras

[quote="msc"]
DESCARGA DE ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp[/quote]

En tal caso, marca la casilla inferior izquierda para que añada al original la extension .VIR y asi quede inactivo

Y sería muy conveniente que nos enviaras la muestra solicitada, para poder seguir ayudandote, gracias

saludos

ms, 12-5-2009

kemasa · Mensaje por **kemasa** » 13 May 2009, 05:25

Hola!!!!

pase el ELIMOVER y no lo encuentra, puede ser que se haya ocultado en otro lado? O con borrar algun archivo se haya eliminado?

muchas gracias

Saludos

Mensaje por **msc hotline sat** » 13 May 2009, 06:25

Por si fuera cosa de un RootKit, mira si lo encuentras igual pero arrancando en Modo Seguro

saludos

ms, 13-5-2009

kemasa · Mensaje por **kemasa** » 13 May 2009, 20:30

Hola! Lo busque en modo seguro y no aparece, lo busque como archivo oculto y tampoco.

Pase nuevamente el Sproces y adjunto el informe por las dudas, por si sale algo nuevo, una consulta que son estos host "O1 - Hosts: 127.0.0.1 007guard.com"?? ya que aparecen muchos, yo los corte porque no entraban para pagarlos todos.

Muchas Gracias

Saludos!!

13-5-2009 18:17:33)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: MS1

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\EXPLORER.EXE

D:\03 PROGRAMAS\ANTIVIRUS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.ar

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 zsvcompany.com

O1 - Hosts: 127.0.0.1 www.zuoyouweinan.com

O1 - Hosts: 127.0.0.1 zuoyouweinan.com

O1 - Hosts: 127.0.0.1 www.zurrusco.com

O1 - Hosts: 127.0.0.1 zurrusco.com

O1 - Hosts: 127.0.0.1 zvimigdal.com

O1 - Hosts: 127.0.0.1 www.zxcsolution.com

O1 - Hosts: 127.0.0.1 zxcsolution.com

O1 - Hosts: 127.0.0.1 www.zxlinks.com

O1 - Hosts: 127.0.0.1 zxlinks.com

O1 - Hosts: 127.0.0.1 zyban-zocor-levitra.com

O1 - Hosts: 127.0.0.1 www.meine-grusskarten.de

O1 - Hosts: 127.0.0.1 meine-grusskarten.de

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe

O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe

O4 - HKLM\..\Run: [EKIJ5000StatusMonitor] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe

O4 - HKLM\..\Run: [PSUNMain] "C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar

O4 - Startup: desktop.ini

O4 - Global Startup: Acer Empowering Technology.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Servicio Google Update (gupdate1c99d4135a8efce) (gupdate1c99d4135a8efce) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Kodak AiO Device Service (KodakSvc) - Eastman Kodak Company - C:\Archivos de programa\Kodak\printer\center\KodakSvc.exe

O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe

O23 - Service: Panda Process Protection Driver (PavProc) - Unknown owner - C:\WINDOWS\system32\DRIVERS\PavProc.sys (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: PSINAflt - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINAflt.sys

O23 - Service: PSINFile - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINFile.sys

O23 - Service: PSINProc - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINProc.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Host de dispositivo Plug and Play universal upnphostNla (upnphostNla) - Unknown owner - C:\WINDOWS\system32\acledits.exe (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Atheros Wireless Network Adapter Service (AR5211) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5211.sys

O23 - Service: Dritek Keyboard Filter Driver (DKbFltr) - Dritek System Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\DKbFltr.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Messenger 310 (PAC7302) - PixArt Imaging Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PAC7302.SYS

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: Scientific-Atlanta USB Cable Modem Driver (USBCM) - - C:\WINDOWS\SYSTEM32\DRIVERS\Sacm2A.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

31 Servicios.

12 de Carga Automatica.

18 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 14 May 2009, 12:57

Pues si no encuentras de ninguna manera dicho fichero, elimina esta clave:

O23 - Service: Host de dispositivo Plug and Play universal upnphostNla (upnphostNla) - Unknown owner - C:\WINDOWS\system32\acledits.exe (file missing)

Para ello prueba el BUSCAREG y le indicas busque acledits.exe y cuando lo encuenters, doble click sobre la clave encontrada y le das a eliminar.

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

Aparte, lo que dices de los O1 - Hosts: 127.0.0.1 ... son creados por el SPYBOT para bloqueo de URL sospechosas, y menos la de O1 - Hosts: 127.0.0.1 localhost, las demas puedes borrarlas todas. Ello lo puedes hacer marcandolas todas con el HJT y dando a FIX CHECKED, o bien editando el fichero HOSTS y eliminar las lineas.

Tras ello reinicia y cuentanos el resultado, gracias

saludos

ms, 14-5-2009

kemasa · Mensaje por **kemasa** » 15 May 2009, 07:09

Hola!! Al final el BuscaReg lo encontro y lo elimino, asi terminaria con este tema del virus?? Como puedo saber si no tengo alguno otro como este que este oculto?

Por otro lado todavia no me permite instalar el NOD32, puede ser que todavia este por ahi??

Pase nuevamente el SPROCES dejo el informe por si sirve de algo.

(14-5-2009 19:29:22)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: MS1

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

D:\03 PROGRAMAS\ANTIVIRUS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.ar

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 www.008k.com

O1 - Hosts: 127.0.0.1 008k.com

O1 - Hosts: 127.0.0.1 www.00hq.com

O1 - Hosts: 127.0.0.1 00hq.com

O1 - Hosts: 127.0.0.1 010402.com

O1 - Hosts: 127.0.0.1 www.032439.com

O1 - Hosts: 127.0.0.1 032439.com

O1 - Hosts: 127.0.0.1 www.0scan.com

O1 - Hosts: 127.0.0.1 0scan.com

O1 - Hosts: 127.0.0.1 www.1000gratisproben.com

O1 - Hosts: 127.0.0.1 1000gratisproben.com

O1 - Hosts: 127.0.0.1 zxlinks.com

O1 - Hosts: 127.0.0.1 zyban-zocor-levitra.com

O1 - Hosts: 127.0.0.1 www.meine-grusskarten.de

O1 - Hosts: 127.0.0.1 meine-grusskarten.de

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe

O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe

O4 - HKLM\..\Run: [EKIJ5000StatusMonitor] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe

O4 - HKLM\..\Run: [PSUNMain] "C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar

O4 - Startup: desktop.ini

O4 - Global Startup: Acer Empowering Technology.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Servicio Google Update (gupdate1c99d4135a8efce) (gupdate1c99d4135a8efce) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Kodak AiO Device Service (KodakSvc) - Eastman Kodak Company - C:\Archivos de programa\Kodak\printer\center\KodakSvc.exe

O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe

O23 - Service: Panda Process Protection Driver (PavProc) - Unknown owner - C:\WINDOWS\system32\DRIVERS\PavProc.sys (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: PSINAflt - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINAflt.sys

O23 - Service: PSINFile - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINFile.sys

O23 - Service: PSINProc - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINProc.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Host de dispositivo Plug and Play universal upnphostNla (upnphostNla) - Unknown owner - C:\WINDOWS\system32\acledits.exe (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Atheros Wireless Network Adapter Service (AR5211) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5211.sys

O23 - Service: Dritek Keyboard Filter Driver (DKbFltr) - Dritek System Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\DKbFltr.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Messenger 310 (PAC7302) - PixArt Imaging Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PAC7302.SYS

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: Scientific-Atlanta USB Cable Modem Driver (USBCM) - - C:\WINDOWS\SYSTEM32\DRIVERS\Sacm2A.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

31 Servicios.

12 de Carga Automatica.

18 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 15 May 2009, 08:52

Habiamos dicho que lanzaras un windowsupdate, lo has hecho ? porque sigue indicando que no tienes el SP3...

Y tienes muchas claves de Panda como

O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe

Safe (4.6 / 5.00)

O23 - Service: Panda Process Protection Driver (PavProc) - Unknown owner - C:\WINDOWS\system32\DRIVERS\PavProc.sys (file missing)

Unknown service. (PavProc.sys)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

This service (pavprsrv.exe) was identified as a good one.

O23 - Service: PSINAflt - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINAflt.sys

Unknown service. (PSINAflt.sys)

O23 - Service: PSINFile - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINFile.sys

Unknown service. (PSINFile.sys)

O23 - Service: PSINProc - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINProc.sys

debes desinstalar el Panda totalmente, antes de querer instalarlo de nuevo un antivirus.

y quedan aun por eliminar estas claves:

O1 - Hosts: 127.0.0.1 http://www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 http://www.008k.com

O1 - Hosts: 127.0.0.1 008k.com

O1 - Hosts: 127.0.0.1 http://www.00hq.com

O1 - Hosts: 127.0.0.1 00hq.com

O1 - Hosts: 127.0.0.1 010402.com

O1 - Hosts: 127.0.0.1 http://www.032439.com

O1 - Hosts: 127.0.0.1 032439.com

O1 - Hosts: 127.0.0.1 http://www.0scan.com

O1 - Hosts: 127.0.0.1 0scan.com

O1 - Hosts: 127.0.0.1 http://www.1000gratisproben.com

O1 - Hosts: 127.0.0.1 1000gratisproben.com

O1 - Hosts: 127.0.0.1 zxlinks.com

O1 - Hosts: 127.0.0.1 zyban-zocor-levitra.com

O1 - Hosts: 127.0.0.1 http://www.meine-grusskarten.de

O1 - Hosts: 127.0.0.1 meine-grusskarten.de

Y tras haber hecho todo lo indicado,si quieres asegurarte de que no quede nada virico conocido, lanza este AV ONLINE y posteanos el informe resultante:

http://www.kaspersky.com/kos/english/kavwebscan.html

y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...

Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.

[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]

saludos

ms, 15-5-2009

kemasa · Mensaje por **kemasa** » 17 May 2009, 07:49

Hola!!

El SP3 no lo puedo instalar dado que el windows que tengo no me deja instalarlo!

Por otro lado desinstale el PANDA y pase al Kaspersky, adjunto el informe.

lo que no puede hacer fue eliminar las claves, dado que el HijackThis no lo puedo ejecutar, quise editar el Host pero como abro el archivo HOSTS para editarlo?

Gracias!!

Saludos!!

KASPERSKY ONLINE SCANNER 7 REPORT

Sunday, May 17, 2009

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Sunday, May 17, 2009 04:34:26

Records in database: 2187227

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

C:\

D:\

E:\

Scan statistics

Files scanned 46908

Threat name 0

Infected objects 0

Suspicious objects 0

Duration of the scan 00:50:00

No malware has been detected. The scan area is clean.

The selected area was scanned.

Mensaje por **msc hotline sat** » 17 May 2009, 09:02

Dices: "~~[b]~~[i]El SP3 no lo puedo instalar dado que el windows que tengo no me deja instalarlo![/i][/b]"

Pues adquiere una licencia legal, en este foro no damos soporte a sistemas pirata, paralelos o desatendidos (UE)...

Y visto el informe del AV ONLINE, no parece que quede nada vírico:

[quote]Threat name 0

Infected objects 0

Suspicious objects 0 [/quote]

Y el HOSTS, simplemente con el bloc de notas, abrelo y elimina dichas entradas, solo recuerda que al ser un fichero sin extensión, al buscarlo con el NOTEPAD debes indicar en TIPO -> "Todos los archivos"

C:\windows\system32\drivers\etc\HOSTS

Y dando el Tema por solucionado, procedemos a cerrarlo

saludos

ms, 17-5-2009

NOTA: Por cierto, decias haber eliminado en el HOSTS esta linea : "O1 - Hosts: 127.0.0.1 localhost" , pues vuelvela a poner que es la única que es correcta, y por otra parte, al haber eliminado la clave de carga, es posible que ahora pudieras ver el C:\WINDOWS\system32\acledits.exe, si lo encuentras, envianoslo para analizar y controlar. ms

Problema con Troyano "Agent.DPE"

Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE"

Re: Problema con Troyano "Agent.DPE" (SOLUCIONADO)