Problema extraño (SOLUCIONADO)

[msc hotline sat]

Lo del acceso a esta carpeta, aceptelo, puede ser una carpeta protegida, en cualquier caso quiere decir que no se examinará.



Y las muestras, las analizaremos mañana, cuando volvamos al trabajo en SATINFO



seguiremos mañana.



saludos



ms, 3-6-3009

[Cerbenp]

Hola, no quiero parecer impaciente ni irrespetuoso, pero les llegaron los archivos que mandé?





Saludos!

[msc hotline sat]

Tiene todo el derecho ! acostumbramos a analizar las muestras en las 24 horas laborables siguientes a la llegada, asi que ya sería hora ...



Voy a ver si llegaron, pues no recuerdo haber creado una carpeta con su nick al respecto de ellas...



one moment please :wink:



Pues no llegaron a ser monitorizadas ya que correspondian al CALC.EXE del XP



original:



File calc.exe

Current status: finished



Result: 0/39 (0.00%)



File size: 115200 bytes

MD5 : cc1f2257387723fe8666059e3565f8db

SHA1 : 18ded327a6ac524ed538deef93f98b302fb8417b







____________







muestra recibida:





File calc.exe.Muestra_EliMover_v1.1 received on 2009.06.08 14:55:20 (UTC)

Current status: finished



Result: 0/39 (0.00%)



File size: 115200 bytes

MD5...: cc1f2257387723fe8666059e3565f8db

SHA1 : 18ded327a6ac524ed538deef93f98b302fb8417b





_____________





No se trata de ningun malware, simplemente ficheros movidos de lugar que por ello despertaron sospechas, si bien el mas sospechoso, no lo llegamos a recibir:



C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\7_calc.exe





saludos



ms, 8-62009

[msc hotline sat]

Revisado por encima el Tema, vemos que este ordenador ha sido muy manipulado... ya venia rebotado de otro foro !



Solo para ver si en el log del SPROCES vemos algo mas, descarguelo, pruebelo y posteenos el informe resulñtante:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 8-6-2009

[Cerbenp]

Hola, aquí va el log:








[code](8-6-2009 17:29:43 GMT)
SProces v3.8 (c)2009 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Nombre Equipo: ACER-95475FC1AC
Nombre Usuario: Alma

Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM32\HKCMD.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\ACER\EPM\EPM-DM.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\LAUNCH MANAGER\LAUNCHAP.EXE
C:\ARCHIVOS DE PROGRAMA\LAUNCH MANAGER\POWERKEY.EXE
C:\ARCHIVOS DE PROGRAMA\LAUNCH MANAGER\HOTKEYAPP.EXE
C:\ARCHIVOS DE PROGRAMA\LAUNCH MANAGER\OSDCTRL.EXE
C:\ARCHIVOS DE PROGRAMA\LAUNCH MANAGER\WBUTTON.EXE
C:\ARCHIVOS DE PROGRAMA\ACER\ERECOVERY\MONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE
C:\ARCHIVOS DE PROGRAMA\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE
C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB09.EXE
C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE
C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE
C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\SGMAIN.EXE
C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE
C:\ARCHIVOS DE PROGRAMA\SPYWAREGUARD\SGBHP.EXE
C:\ACER\EMANAGER\ANBMSERV.EXE
C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\WINDOWS\SYSTEM32\PASTISVC.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE
D:\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,[/code]

[code]O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] NOT_IN_USE_DUMMY_PATH
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LaunchAp] "C:\Archivos de programa\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Archivos de programa\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Archivos de programa\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Archivos de programa\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Archivos de programa\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Archivos de programa\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Archivos de programa\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NWEReboot]
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe
O4 - Startup: desktop.ini
O4 - Startup: Adobe Gamma.lnk
O4 - Startup: SpywareGuard.lnk
O4 - Startup: RocketDock.lnk
O4 - Global Startup: desktop.ini
O4 - Global Startup: WinZip Quick Pick.lnk
O4 - Global Startup: Acceso directo a ashDisp.lnk
O8 - Extra context menu item: Descargar con USDownloader - D:\USD\USDownloader\Ext\downloadie.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL
O20 - Winlogon Notify: REGGSS-GLOBA - (no file)
O20 - Winlogon Notify: VALOR AGREGA - (no file)
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------
ShellExecuteHooks: {81559C35-8464-49F7-BB0E-07A383BEF910} - - C:\Archivos de programa\SpywareGuard\spywareguard.dll

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: Acer EPM Power Scheme Driver (EpmPsd) - Acer Value Labs, USA - C:\WINDOWS\system32\drivers\epm-psd.sys
O23 - Service: Acer EPM System Hardware Driver (EpmShd) - Acer Value Labs, USA - C:\WINDOWS\system32\drivers\epm-shd.sys
O23 - Service: Servicio Google Update (gupdate1c9e30953b46774) (gupdate1c9e30953b46774) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: int15.sys - Unknown owner - C:\Archivos de programa\Acer\eRecovery\int15.sys
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys
O23 - Service: osaio - Avocent/OSA Technologies Inc. - C:\WINDOWS\system32\drivers\osaio.sys
O23 - Service: osanbm - Windows (R) 2000 DDK provider - C:\WINDOWS\system32\drivers\osanbm.sys
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS
O23 - Service: Atheros Wireless Network Adapter Service (AR5211) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5211.sys
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys
O23 - Service: HSFHWICH - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWICH.sys
O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys
O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys
O23 - Service: MEMSWEEP2 - Unknown owner - C:\WINDOWS\system32\8.tmp (file missing)
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Controladora de dispositivo de infrarrojos NSC (NSCIRDA) - National Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nscirda.sys
O23 - Service: Upper Class Filter Driver (NTIDrvr) - NewTech Infosystems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NTIDrvr.sys
O23 - Service: Trust WB-1400T Webcam (PAC207) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\pfc027.sys
O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys
O23 - Service: POWERKEY - Unknown owner - C:\Archivos de programa\Launch Manager\POWERKEY.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnicxp.sys
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

47 Servicios.
20 de Carga Automatica.
24 de Carga Manual.
3 Deshabilitados.
[/code]





Sobre ese archivo, la mayor parte son cosas así:


[code]O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.1001-search.info
O1 - Hosts: 127.0.0.1 1001-search.info
[/code]



Pero son muchísimas (una cantidad enorme, como todo lo que pegué en la primer página de este hilo), copio todo eso también o con lo que copié ya es suficiente?

[lucl]

Estas lineas





O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 www.008k.com

O1 - Hosts: 127.0.0.1 008k.com







no las copies, no nos hacen falta saludos

[msc hotline sat]

Sí, esta cantidad de líneas en el HOSTS, las crea el Spybot para bloquear el acceso a todas estas URL, por considerarlas peligrosas, pero hacerlo asi resulta un incordio, ya que algunos virus tambien lo hacen, y por ello las visualizamos, pero cuando hay toda esta maraña... las olvidamos y punto.



Y creo que el problema viene provocado por este posible malware:



C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE



ya que vemos que usas AVAST, y este fichero puede ser un troyano ya visto otras veces.



pero como que vemos otras claves de Symantec, por si fueran un resto de una instalacion mal desinstalada, usa su programa de desinstalacion:



http://service1.symantec.com/Support/tsgeninfo.nsf/docid/2005033108162039



y si con ello no es suficiente, nos envia la muestra indicada del CCAPP.EXE:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir los ficheros, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-6-2009

[msc hotline sat]

Sí, esta cantidad de líneas en el HOSTS, las crea el Spybot para bloquear el acceso a todas estas URL, por considerarlas peligrosas, pero hacerlo asi resulta un incordio, ya que algunos virus tambien lo hacen, y por ello las visualizamos, pero cuando hay toda esta maraña... las olvidamos y punto.



Y creo que el problema viene provocado por este posible malware:



C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE



ya que vemos que usas AVAST, y este fichero puede ser un troyano ya visto otras veces.



pero como que vemos otras claves de Symantec, por si fueran un resto de una instalacion mal desinstalada, usa su programa de desinstalacion:



http://service1.symantec.com/Support/tsgeninfo.nsf/docid/2005033108162039



y si con ello no es suficiente, nos envia la muestra solicitada:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir los ficheros, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-6-2009

[Cerbenp]

Hola, pasé el programa ese de symantec y, según el Spybot S&D, que me informa de los "cambios en el registro", me eliminó el archivo en cuestión.



Sin embargo, me fijé en la carpeta donde estaba ubicado y salen muchos archivos con el mismo nombre, pero no con la misma extensión, estos son ".DMP":



[img]http://img44.imageshack.us/img44/977/apps.jpg[/img]



http://img44.imageshack.us/img44/977/apps.jpg





Son peligrosos?











Saludos!

[msc hotline sat]

Ni idea, pero si estas usando el AVAST, ya te indiqué que usaras el deinstalador de Symantec y que eliminaras dicho antivirus, y si queda algo que pueda ser troyano o virus, en dicha carpeta que muestras, eliminalo, que no quede nada ni del troyano ni desymantec, ya que no lo usas actualmente.



Y tras ello reinicias y mira si pesiste alguna anomalía y nos lo cuentas



saludos



ms, 10-6-2009

[Cerbenp]

Hola, borré todo y ya no está más ni la carpeta, ni obviamente los archivos. Parece que no hay más problemas. :D





Bueno, muchísimas gracias por toda la ayuda que me dieron, realmente se los agradezco!









Saludos!

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 11-6-2009