virus qhost troyano

jes0889 · Mensaje por **jes0889** » 10 Sep 2009, 22:15

[color=#000080]hola desde hace algnos dias me aparece cuando enciendo mi computadora una notificacion del eset nod32que dice:

objeto: c:\windows\system32\drivers\etc\hosts

amenaza: win32\qhost troyano

informacion: no se ha podido desinfectar - archivo eliminado- puesto en cuerentena

esta ventanita no se va porque vuelve a salir una y otra vez.

Agradezco de antemano que me puedan ayudar :) por favor :wink: [/color]

julibaga · Mensaje por **julibaga** » 10 Sep 2009, 22:33

Bájate las siguientes utilidades:

~~[b]~~[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url][/b]

~~[b]~~[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url][/b]

Las ejecutas de una en una y cuando terminen abres el archivo ~~[b]~~c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.

Y para ver los procesos bájate el ~~[b]~~[url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url][/b] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del ~~[b]~~c:\sproclog.txt[/b] con un copiar y pegar.

jes0889 · Mensaje por **jes0889** » 10 Sep 2009, 23:54

bueno esto es lo que arrojó:

(10-9-2009 21:36:52 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sospechosa Clave "HKLM\...\Image File Execution Options\ctfmon.exe"

"Debugger"="AVGVCNT.EXE"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(10-9-2009 21:37:01 (GMT))

EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3542

Nº Total de Ficheros: 41219

Nº de Ficheros Analizados: 18722

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(10-9-2009 21:46:39) (GMT)

EliTriIP v6.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(10-9-2009 21:46:41) (GMT)

EliTriIP v6.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3542

Nº Total de Ficheros: 41218

Nº de Ficheros Analizados: 17367

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(10-9-2009 21:53:38 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: PC

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\SANDISK\COMMON\BIN\WINCINEMAMGR.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\SYSTEM32\TASKMGR.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\NUEVA CARPETA\SPROCES.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Startup: desktop.ini

O4 - Startup: wbhwin32.exe

O4 - Global Startup: WinCinema Manager.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys (file missing)

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Intel(R) Management Engine Interface (HECI) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\HECI.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: IVI ASPI Shell (Iviaspi) - InterVideo, Inc. - C:\WINDOWS\SYSTEM32\drivers\iviaspi.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SAMSUNG Mobile USB Device II 1.0 driver (WDM) (ssm_bus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\ssm_bus.sys

O23 - Service: SAMSUNG Mobile USB Modem II 1.0 Filter (ssm_mdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\ssm_mdfl.sys

O23 - Service: SAMSUNG Mobile USB Modem II 1.0 Drivers (ssm_mdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\ssm_mdm.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

30 Servicios.

8 de Carga Automatica.

21 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 11 Sep 2009, 08:11

Pues empieza por instalar los parches pendientes !!! Te faltan los 1073 dl SP3 y posteriores, especialmente el MS03-067 para evitar el Conficker ...

Para ello lanza un windowsupdate y que instala los que encuentre a faltar.

Y elimina estas claves:

O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys (file missing)

Y Vemos que lanzas este fichero sospechoso:

wbhwin32.exe

Buscalo con un Inicio -> Buscar y envianoslo para analizar

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 11-9-2009

Mensaje por **msc hotline sat** » 11 Sep 2009, 19:30

Además, julibaga en privado me ha consultado sobre este Tema al respecto del fichero AVGVCNT.EXE que pretende pasar por uno de AVIRA , si bien usas NOD32

~~[b]~~[i]EliStartPage v19.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sospechosa Clave "HKLM\...\Image File Execution Options\ctfmon.exe"

"Debugger"="AVGVCNT.EXE"[/i][/b]

Ya te he indicado que elimines la clave O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe , pero ademas mira de enviarnos estos dos ficheros:

CTFMON.EXE

AVGVCNT.EXE

con un Inicio -> Buscar , los encontrarás (puede que estén ocultos, activa la busqueda en tal sentido) y cuando los recibamos los analizaremos e informaremos.

Si de CTFMON.EXE te detecta mas de uno, envianoslos todos, cambiando el nombre a los repetidos por CTFMON1.EXE , CTFMON2.exe, etc

Si bien los nombres son normales, pudieran ocultar troyanos.

saludos

ms, 11-9-2009

NOTA: y elimina esta otra clave de un resto de AVG que posiblemente instalaste anteriormente:

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll (file missing)

(No debe haber mas de un antivirus instalado y los anteriores deben desinstalarse totalmente. ms.

jes0889 · Mensaje por **jes0889** » 12 Sep 2009, 03:20

bueno antes de todo gracias. ayer pase un antivirus online e hizo esto:

;***********************************************************************************************************************************************************************************

ANALYSIS: 2009-09-10 20:55:57

PROTECTIONS: 2

MALWARE: 4

SUSPECTS: 9

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Kaspersky Anti-Virus 8.0.0.485 No Yes

ESET NOD32 Antivirus 4.0 4.0 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[3].txt

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[1].txt

02770347 Trj/Downloader.MDW Virus/Trojan No 1 Yes Yes C:\WINDOWS\system32\avgvcnt.exe

03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP67\A0007955.exe

03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP66\A0007721.exe

03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP65\A0007625.exe

05444945 Application/HideWindow.T HackTools No 0 Yes No C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP76\A0009293.exe

;===================================================================================================================================================================================

SUSPECTS

Sent Location L

;===================================================================================================================================================================================

No C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\wbhwin32.exe L

No C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP103\A0020067.exe L

No C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP65\A0007626.exe L

No C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP65\A0007627.exe L

No C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP66\A0007719.exe L

No C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP66\A0007720.exe L

No C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP67\A0007954.exe L

No C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP67\A0007956.exe L

No C:\System Volume Information\_restore{21DA3DB9-0E4C-41A6-A913-463F8C16A625}\RP67\A0007957.exe L

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description L

;===================================================================================================================================================================================

212530 HIGH MS09-034 L

211784 HIGH MS09-032 L

211781 HIGH MS09-029 L

210625 HIGH MS09-026 L

210624 HIGH MS09-025 L

210621 HIGH MS09-022 L

210618 HIGH MS09-019 L

208380 HIGH MS09-015 L

208379 HIGH MS09-014 L

208378 HIGH MS09-013 L

208377 HIGH MS09-012 L

206981 HIGH MS09-007 L

206980 HIGH MS09-006 L

204670 HIGH MS09-001 L

203806 HIGH MS08-078 L

203508 HIGH MS08-073 L

203505 HIGH MS08-071 L

202465 HIGH MS08-068 L

201683 HIGH MS08-067 L

201258 HIGH MS08-066 L

201256 HIGH MS08-064 L

201255 HIGH MS08-063 L

201253 HIGH MS08-061 L

201250 HIGH MS08-058 L

209275 HIGH MS08-049 L

209273 HIGH MS08-045 L

196455 MEDIUM MS08-037 L

194862 HIGH MS08-032 L

194861 HIGH MS08-031 L

194860 HIGH MS08-030 L

191618 HIGH MS08-025 L

191617 HIGH MS08-024 L

191616 HIGH MS08-023 L

191614 HIGH MS08-021 L

191613 HIGH MS08-020 L

187735 HIGH MS08-010 L

187733 HIGH MS08-008 L

184380 MEDIUM MS08-002 L

184379 MEDIUM MS08-001 L

182048 HIGH MS07-069 L

182046 HIGH MS07-067 L

179553 HIGH MS07-061 L

176383 HIGH MS07-058 L

176382 HIGH MS07-057 L

170911 HIGH MS07-050 L

170907 HIGH MS07-046 L

170906 HIGH MS07-045 L

170904 HIGH MS07-043 L

164915 HIGH MS07-035 L

164913 HIGH MS07-033 L

164911 HIGH MS07-031 L

160623 HIGH MS07-027 L

157262 HIGH MS07-022 L

157261 HIGH MS07-021 L

157260 HIGH MS07-020 L

157259 HIGH MS07-019 L

156477 HIGH MS07-017 L

150253 HIGH MS07-016 L

150249 HIGH MS07-013 L

150248 HIGH MS07-012 L

150247 HIGH MS07-011 L

150243 HIGH MS07-008 L

150242 HIGH MS07-007 L

150241 MEDIUM MS07-006 L

141033 MEDIUM MS06-075 L

141030 HIGH MS06-072 L

137571 HIGH MS06-070 L

137568 HIGH MS06-067 L

133387 MEDIUM MS06-065 L

133386 MEDIUM MS06-064 L

133385 MEDIUM MS06-063 L

133379 HIGH MS06-057 L

131654 HIGH MS06-055 L

129977 MEDIUM MS06-053 L

129976 MEDIUM MS06-052 L

126093 HIGH MS06-051 L

126092 MEDIUM MS06-050 L

126087 HIGH MS06-046 L

108738 HIGH MS06-004 L

126083 HIGH MS06-042 L

126082 HIGH MS06-041 L

126081 HIGH MS06-040 L

123421 HIGH MS06-036 L

123420 HIGH MS06-035 L

120825 MEDIUM MS06-032 L

120823 MEDIUM MS06-030 L

120818 HIGH MS06-025 L

120815 HIGH MS06-022 L

120814 HIGH MS06-021 L

117384 MEDIUM MS06-018 L

114666 HIGH MS06-015 L

114664 HIGH MS06-013 L

108738 HIGH MS06-004 L

108738 HIGH MS06-004 L

108738 HIGH MS06-004 L

104567 HIGH MS06-002 L

104237 HIGH MS06-001 L

96574 HIGH MS05-053 L

93395 HIGH MS05-051 L

93454 MEDIUM MS05-049 L

;===================================================================================================================================================================================

recien acaba de leer su respuesta y he hecho lo que me indicas pero no logro borrar esta clave :

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys (file missing)

ya que con el HijackThis no lo muestra; despues de pasarle el antivirus la ventanita molestosa del nod desapereció, pero igual te dejo por si acaso mi log :):

(12-9-2009 01:17:30 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: PC

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\SANDISK\COMMON\BIN\WINCINEMAMGR.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\NUEVA CARPETA\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - Startup: desktop.ini

O4 - Startup: wbhwin32.exe

O4 - Global Startup: WinCinema Manager.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys (file missing)

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Intel(R) Management Engine Interface (HECI) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\HECI.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: IVI ASPI Shell (Iviaspi) - InterVideo, Inc. - C:\WINDOWS\SYSTEM32\drivers\iviaspi.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SAMSUNG Mobile USB Device II 1.0 driver (WDM) (ssm_bus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\ssm_bus.sys

O23 - Service: SAMSUNG Mobile USB Modem II 1.0 Filter (ssm_mdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\ssm_mdfl.sys

O23 - Service: SAMSUNG Mobile USB Modem II 1.0 Drivers (ssm_mdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\ssm_mdm.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

30 Servicios.

8 de Carga Automatica.

21 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 12 Sep 2009, 10:42

La clave indicada:

~~[b]~~[i]O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys (file missing)[/i][/b]

la podrá eliminar con el ELISERV , indicandole como proceso :

~~[b]~~[i]Intel(R) PRO/1000 PCI Express Network Connection Drive[/i][/b]

ELISERV:

http://www.zonavirus.com/datos/descargas/273/eliservexe.asp

y en el último log vemos que lanza este fichero, el cual es sospechoso y le pedimos nos envie para analizar:

~~[b]~~[i]wbhwin32.exe[/i][/b]

posiblemente esté en la carpeta de sistema, y sino, busquelo con un Inicio -> Buscar

Una vez lo tenga, envienoslo segun indicamos:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 12-9-2009

NOTA: Ademas no te olvides de enviarnos tambien los pedidos anteriormente, ~~[b]~~[i]ctfmon.exe y AVGVCNT.EXE[/i][/b]

ms.

jes0889 · Mensaje por **jes0889** » 12 Sep 2009, 21:51

bueno ya les envie los ficheros pero no encontre el AVGVCNT.EXE.

y con ELISERV la clave

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys (file missing)

me sale que no lo encuentra :?

Mensaje por **msc hotline sat** » 13 Sep 2009, 06:19

Pues mañana, cuando volvamos al trabajo en SATINFO, encontraremos el fichero y lo analizaremos e informaremos.

Sobre el servicio, debería encontrarlo si ha puesto en el ELISERV la línea

~~[b]~~[i]Intel(R) PRO/1000 PCI Express Network Connection Driver[/i][/b]

con un copiar y pegar, pero sin un espacio mas ni uno menos...

saludos

ms, 13-9-2009

Mensaje por **msc hotline sat** » 14 Sep 2009, 10:51

Analizadas las muestras enviadas, en el preanalisis se ha detectado el BReDOLAB:

File wbhwin32.exe received on 2009.09.14 08:08:31 (UTC)

Current status: finished

Result: 5/41 (12.20%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.5.0.24 2009.09.14 -

AhnLab-V3 5.0.0.2 2009.09.13 -

AntiVir 7.9.1.14 2009.09.11 -

Antiy-AVL 2.0.3.7 2009.09.14 -

Authentium 5.1.2.4 2009.09.13 -

Avast 4.8.1351.0 2009.09.13 -

AVG 8.5.0.412 2009.09.13 -

BitDefender 7.2 2009.09.14 -

CAT-QuickHeal 10.00 2009.09.14 -

ClamAV 0.94.1 2009.09.14 -

Comodo 2313 2009.09.14 -

DrWeb 5.0.0.12182 2009.09.14 Trojan.Botnetlog.11

eSafe 7.0.17.0 2009.09.13 -

eTrust-Vet 31.6.6733 2009.09.11 -

F-Prot 4.5.1.85 2009.09.13 -

F-Secure 8.0.14470.0 2009.09.13 -

Fortinet 3.120.0.0 2009.09.14 -

GData 19 2009.09.14 -

Ikarus T3.1.1.72.0 2009.09.14 -

Jiangmin 11.0.800 2009.09.14 -

K7AntiVirus 7.10.843 2009.09.12 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.09.14 -

McAfee 5740 2009.09.13 -

McAfee+Artemis 5740 2009.09.13 -

McAfee-GW-Edition 6.8.5 2009.09.14 Heuristic.LooksLike.Trojan.Dldr.Bredolab.B

Microsoft 1.5005 2009.09.14 -

NOD32 4422 2009.09.13 -

Norman 6.01.09 2009.09.11 -

nProtect 2009.1.8.0 2009.09.14 -

Panda 10.0.2.2 2009.09.13 Suspicious file

PCTools 4.4.2.0 2009.09.11 -

Prevx 3.0 2009.09.14 Medium Risk Malware

Rising 21.47.01.00 2009.09.14 -

Sophos 4.45.0 2009.09.14 -

Sunbelt 3.2.1858.2 2009.09.13 -

Symantec 1.4.4.12 2009.09.14 -

TheHacker 6.3.4.4.402 2009.09.12 -

TrendMicro 8.950.0.1094 2009.09.14 -

VBA32 3.12.10.10 2009.09.13 -

ViRobot 2009.9.14.1933 2009.09.14 -

VirusBuster 4.6.5.0 2009.09.13 -

Additional information

File size: 16896 bytes

MD5 : 80a2404cb88f913d54a6661098918476

SHA1 : e9ab47cfba960f92ebd33048228398ab614a1d2a

por cierto que aun muy pocos antivirus lo detectan, debe ser muy nuevo.

Si quiere ahora mismo puede lanzar un escaneo a ver si hay mas, para lo cual puede usar el ELIMD5 indicando cualquiera de los dos hashes del informe, por ejemplo

80a2404cb88f913d54a6661098918476

ELIMD5.EXE

http://www.zonavirus.com/descargas/elimd5.asp

Tras ello postearnos el contenido de c:\infosat.txt para ver el resultado del proceso.

Y esta tarde, a partir de las 19 h subiremos a esta web la version indicada del ELISTARA:

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 14-9-2009

jes0889 · Mensaje por **jes0889** » 20 Sep 2009, 02:19

disculpa q responda tan tarde es q tuve un semana muy ocupada :roll: . Pero esto es lo q me deja el ELIMD5 :)

Sat Sep 19 18:44:40 2009

EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3538

Nº Total de Ficheros: 41235

Nº de Ficheros Analizados: 40819

Nº de Ficheros Detectados: 0

Nº de Ficheros Eliminados: 0

(20-9-2009 0:11:37 (GMT))

EliStartPage v19.29 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Administrador\Datos de programa\WIASERVA.LOG --> Eliminado (Fichero Complementario).

Sospechosa Clave "HKLM\...\Image File Execution Options\ctfmon.exe"

"Debugger"="AVGVCNT.EXE"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(20-9-2009 0:11:52 (GMT))

EliStartPage v19.29 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3534

Nº Total de Ficheros: 41128

Nº de Ficheros Analizados: 18740

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 20 Sep 2009, 07:19

Pues vemos que no se detectan mas ficheros con el BREDOLAB, posiblemente eliminó el de la carpeta C:\muestras, lo cual no debía haber hecho..., para comprobar que la cadena entrada al ELIMD5 era la correcta, pero en fin ...

Hay pendientes de instalar muchos parches:

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

No solo los 1073 del SP3, sino posteriroes como el tan importante MS08-067 para evitar la entrada del Conficker, pero esto veo que ya te lo habiamos dicho, aunque todavía están pendientes de instalar ...

Aparte vemos que tenía las claves de arranque en modo seguro interceptadas, lo cual se ha restaurado, ahora hay que ver si se mantienen asi o algo se las ha vuelto a cambiar. Pruebe arrancar en modo seguro (pulsando repetidamente F8 al arrancar y escogiendo dicha opción)

Tras arrancar en dicha forma, mire de eliminar la clave que ya indicabamos y tras reiniciar vea si persiste algun problema, pero en cualquier caso mire de localizar este fichero sospechoso, ya que no usa AVIRA, y enviarnoslo para analizar: AVGVCNT.EXE

O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe

Por cierto, el AVGVCNT.EXE si no usa AVIRA, puede ser el culpable, vea:

http://www.prevx.com/filenames/1326385918234491986-X1/AVGVCNT.EXE.html

y como que vemos que usa NOD32, es por lo que entendemos que es malware.

Sobre todo lo importante es que arranque en modo seguro para ello, y si aun asi no lo ve por estar oculto, mire si lo localiza con el ELIMOVER

ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp

y lo copia a C:\muestras sin atributos, para poder enviarnoslo (posiblemente esté en C:\windows\system32\AVGVCNT.EXE )

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 20-9-2009

NOTA: Y como que posiblemente sea de los que se propaga por pendrive:

vacune todas sus unidades de disco y pendrive con el ELIPEN:

~~[b]~~ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso . ms.

Mensaje por **msc hotline sat** » 21 Sep 2009, 13:22

Mira lo que puede ser en tu caso el AVGVCNT.EXE en lugar del AVGHST.EXE de esta noticia:

http://www.zonavirus.com/noticias/2009/nueva-variante-de-virus-enviado-por-msn-propagado-por-pendrive-y-que-usa-tecnicas-rootkit.asp

y ya que el ELISTARA ha visto:

Sospechosa Clave "HKLM\...\Image File Execution Options\ctfmon.exe"

"Debugger"="AVGVCNT.EXE"

parece ser este el que lanza como si fuera un "debugger" cada vez que se ejecuta el CTFMON

Posiblemente se trate de mas de lo mismo

Lo veremos en los informes pedidos, y sobre todo en el fichero en cuestion, si es que nos lo puedes enviar

C:\windows\system32\AVGVCNT.EXE

saludos

ms 21-9-2009

jes0889 · Mensaje por **jes0889** » 24 Sep 2009, 04:01

hola bueno la clave O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe no existe y el archivo AVGVCNT.EXE he tratado de buscarlo y no lo encuentro ni con el elimover.

Me dicen que me faltan algunos parches yo no se mucho de eso pero como puedo instalarlo y de donde? :roll:

de antemano les agradezco :wink:

por siacaso les dejo mi log:

(24-9-2009 01:57:46 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: PC

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\SANDISK\COMMON\BIN\WINCINEMAMGR.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUCHECK.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\NUEVA CARPETA\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - Startup: desktop.ini

O4 - Global Startup: WinCinema Manager.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Intel(R) Management Engine Interface (HECI) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\HECI.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: IVI ASPI Shell (Iviaspi) - InterVideo, Inc. - C:\WINDOWS\SYSTEM32\drivers\iviaspi.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SAMSUNG Mobile USB Device II 1.0 driver (WDM) (ssm_bus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\ssm_bus.sys

O23 - Service: SAMSUNG Mobile USB Modem II 1.0 Filter (ssm_mdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\ssm_mdfl.sys

O23 - Service: SAMSUNG Mobile USB Modem II 1.0 Drivers (ssm_mdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\ssm_mdm.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

29 Servicios.

8 de Carga Automatica.

20 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 24 Sep 2009, 05:21

Sí, a simple vista se ven que faltan los 1073 parches del SP3 mas los posteriores, como el tan importante MS08-067. Para instalarlos lance un windowsupdate, abriendo el I.E., alli pulsar el Herramientas (en la barra superior) y verá windowsupdate. Pulsando allí podrá buscar los que le faltan y aceptando instalcion rapida, instalarlos.

Y vemos que no ha actualizado el SPROCES... Siempre se ha de probar la ultima version de nuestras utilidades, y en este caso es muy importante por lo que indicamos al respecto:

https://foros.zonavirus.com/viewtopic.php?f=12&t=29707

Así que descargue la actual V 4.0 del SPROCES y tambien el ELISTARA actual, y tras probarlos, posteenos el informe resultante de los dos procesos. Veremos si aparece algo de interés para su caso, aparte de que, tras todo ello y reiniciar, nos diga si persiste alguna anomalía , gracias

saludos

ms, 24-9-2009

virus qhost troyano

virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano

Re: virus qhost troyano