GRAVE PROBLEMA CON VIRUS, NO SE ELIMINA AL FORMATEAR PC

[dr_no]

Hola

hace aproximadamente dos dias me baje el FIFA10, cometi el error de buscar un crack NO DVD, y de manera descuidada baje uno que al parecer trae un virsus mas que complicado, ya que el virus no lo he logrado eliminar ni siquiera formateando el PC.

ocurre lo siguiente

al momento de iniciar windows XP, antes de cargar el escritorio aparece una pantalla diciendo "configuración personalizada

c:\\Program Files\FIFA10\FIFA 10 support.exe Restart" y sale otro mensaje diciendo error Fifa10.exe no se puede encontrar el componente no se encontro dirtysock.dll.

en ese momento el computador se queda pegado y tengo q hacer control+alt+suprim para ver los procesos, ahi me sale un proceso llamado "WinHelper" el cual no responde, lo finalizo y finalmente carga windows.

Luego de estar funcionando nuevamente aparece WinHelper, pero esta vez son 3 procesos que estan corriendo y no responden, afortunadamente el PC no se cuelga estando en windows, en ocasiones salen errores y al momento de apagarlo cuesta bastante, ya que hay procesos corriendos que hay q finalizar.



Lo mas extraño es que el PC lo formatie, instale windows desde cero, sin nada, formatie las dos particiones que tiene el disco duro y sigue el virus en el pc, todo tal cual, sigue el archivo fifa10 dandome los mismos errores.(no se como no se elimina el virus al formatear)



Porfavor necesito ayuda, no me importa formatear ya que en estos momentos no tengo archivos en el PC, solo me interesa salvar la PC, nunca me habia pasado que un virus no se borrara al formatear

[msc hotline sat]

Pues vaya con los cracks ! Ya sabe lo que opinamos al respecto, pero ...



El que se tras formatear persista puede ser por tres cosas, que el virus haya quedado en el MBR (que no se elimina con un simple formateo), que sea de los que se propaga por pendrives y use alguno que haya infectado, o que alguna de las palicaciones que vuelve a ingresar esté infectada.



Por si estuviera en el MBR, tras formatear, acceda a la Consola de recuperacion (Pulsando R tras arrancar co el CD de instalacion de Windows) y ejecute FIXMBR. Ello sobreescribirá el código del MBR que puede estar infectado.



Por si estuviera en pendrives, descargue el ELIPEN yprocese todos sus pendrives con dicha utilidad:


[quote]

vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Y si está en las aplicaciones que instala, vaya probandolas una a una y si encuentra la que es, aparquela y nos lo comenta. La analizaremos y obraremos en consecuencia.



Pero creo que será una de las dos primeras causas...



Informenos de sus progresos al respecto y posteenos el infosat.txt resultante, que igual veremos allí cual ha sido el marrano y podemos pasar a controlarlo para el futuro.



saludos



ms, 10-10-2009

[dr_no]

Gracias por tu pronta respuesta, muy clara



Hice lo que me dijiste, y todo indica que el virus finalmente fue eliminado, que alivio amigo.



ahora, meti el programa elipen en el pendrive, en otro pc (un notebook con windows 7) y elegi la unidad en este caso la "G" le di click en "Procesar" y me salio un archivo extension ini, pero era el archivo que me dejo la cagada, osea el virus, se llamaba Fifa10-cdwn.exe y ese archcivo creo que fue almacenado. ahora no quiero poner ese pendrive en el equipo que acabo de arreglar para no infectarlo.

en el pendrive tengo informacion importante que seria lamentable perderla, hay algo por hacer para no tener q formatear?

por ultimo, mi notebook con windows 7 al parecer no se ha infectado, me parece extraño ya que el pendrive esta con el virus.



Como lo puedo hacer para saber si el notebook esta infectado, tiene windows 7, ya que ahora me da desconfianza traspasar archivos desde el notebook a otros computadores. Deberia estar infectado ya que los otros dos pc (ambos con windows XP) se contagiaron con el virus y el notebook al parecer no, me parece extraño ya que los tres estuviaron con el pendrive.



muchas gracias nuevamente

[msc hotline sat]

El ELIPEN creó un informe en C:\infosat.txt en el ordenador donde lo hiciste. Abre dicho fichero y nos copias su contenido (con un copiar y pegar) en tu proximo post, de respuesta a este Tema



Asi veremos con detalle lo detectado y el proceso realizado, y podremos obrar en consecuencia



saludos



ms, 10-10-2009

[msc hotline sat]

Por cierto, el windows7 ya incorpora la técnica del ELIPEN para evitar la propagación de virus de pendrive, esto aclara el porqué no le infectó a su notebook.



saludos



ms, 10-10-2009

[nekron13]

ola! estaba buscando soluciones a mi problema en internet y creo k la e encontrao, ami tb me pasa lo de "estableciendo conficuracion personalizada c:\\Program Files\FIFA10\FIFA 10 support.exe Restart" pero los efectos son un poco diferentes:

al principio iniciaba sesion y me aparecia la ventana en la k ponia lo de la configuracion, no me aparecia el escritorio y se me abria automticamente el fifa. Le daba a cerrar sesion y la volvia a abrir y ya si aparecia el escritorio, pero ayer al encender el ordenador e iniciar sesion no me aparecio absolutamente nada, una pantalla en negro y el cursor! mediante el administrador de tareas iniciaba el escritorio mediante el explorador de windows y funcionaba perfectamente pero no abia ni barra de tareas ni iconos ni escritorio.. probe a restaurar el sistema con una configuracion anterior pero la ultima k me aparecia era del dia 8 y ya tenia el fifa instalado por lo k sigo =k antes.. mi ordenador es nuevo de primeros de septiembre y al comprarlo x internet no me venia cd de windows vista asik no puedo formatearlo ni nada, deberia llevarlo a un tecnico pero lo utilizare como ultimo recurso xk t clavan un paston y aveces no solucionan el problema.. tambien e probado a desinstalar el fifa pero sigue =.. si pueden ayudarme se lo agradeceria mucho!!

[dr_no]

Gracias nuevamente



adjunto el informe creado por el porgrama

limpiando el pendrive cometi el error de borrar el archivo G:\Autorun.inf -> Renombrado a .OLD . Ahora me di cuenta q era creado por el programa. Espero que no sea un error grave

actualmente en el pendrive hay una carpeta llamada Autorun.inf





(10-10-2009 06:04:59)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado G:\Autorun.inf

SHELLEXECUTE = FIFA10-CDRUN.EXE

G:\Autorun.inf -> Renombrado a .OLD

Unidad G:\ Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



(10-10-2009 06:08:45)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



(10-10-2009 06:17:45)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Grax!!

[msc hotline sat]

Por suerte en el infosat aparece la informacion que necesitamos:


[quote]EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado G:\Autorun.inf

SHELLEXECUTE = FIFA10-CDRUN.EXE

G:\Autorun.inf -> Renombrado a .OLD[/quote]

En G: tenía un pendrive en el que había este fichero FIFA10-CDRUN.EXE que era autoejecutado por el AUTORUN.INF, lo cual quedó anulado al ser renombrado a .OLD por el ELIPEN, pero lo que necesitamos nos envie para analizar es este fichero:



G:\FIFA10-CDRUN.EXE



si no lo viera por estar oculto, pruebe el ELIMOVER:



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp





y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware



Y DESDE c:\MUESTRA, envienos dicho fichero para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 10-10-2009

[dr_no]

Hola



el fichero ya fue enviado. Me queda una duda, ¿el pendrive infectará a otros equipos, con windows xp, si lo conecto?

es el unico pendrive q tengo y necsito usar información que tengo en el.



gracias

[msc hotline sat]

No, ya que el AUTORUN.INF ya no está. Aunque lo conectara a ordenadores no protegidos con el ELIPEN, ahora ya no le infectaria



De todas formas, añada .VIR al fichero FIFA10-CDRUN.EXE para que, ni queriendo, (por error) lo pueda ejecutar.



El martes implementaremos el control y eliminacion de dicho fichero en el ELISTARA 19.44 , pruebelo con dicho pendrive y posteenos el infosat.txt resultante, gracias.





saludos



ms, 10-10-2009

[Mauser]

Hola, Buenos Días.



Ante todo les felicito por este foro, ya que si no fuera por ustedes no sabria que hacer, ya que soy una completa anulidad en temas de virus :lol:

Mi problema es exactamente el mismo que el del usuario dr_no. Compré en tienda el juego FIFA10, pero me bajé un crack por la comodidad de no tener que usar el DVD cada vez que quisiese jugar. Este crack resultó ser un virus, y mi PC desde entonces tiene los mismos síntomas que dr_no ha dicho antes, además de que no me permite el acceso a ninguno de los discos duros (sólo puedo abrirlos dandole click derecho -> explorar)

En el momento que el virus se introdujo en mi ordenador, tenía conectado mi PenDrive al PC, y estaba trabajando con él. Repasé varias veces todas las unidades con NOD32 y con Malwarebytes' Anti-Malware, y me dieron resultados negativos (como si mi PC no estuviese infectado). Tan tranquilo, cogí mi PenDrive y lo enganché a mi otro PC(este último cuenta con 2 sistemas operativos). Automáticamente éste PC empezó a sufrir los mismos síntomas que el primero. El PenDrive fué portador del virus.



He repasado todo el hilo del tema, pero nose exactamente por donde empezar. Como ya les he dicho, soy un inútil en este tema xDDDD Desde ya mil gracias. Espero sus respuestas :)

[msc hotline sat]

Pues lo primero vacune este pendrive (y todos los que tenga) con el ELIPEN, asi como si tiene mas de 1 ordenador, vacunelos todos, para que no se puedan infectar aunque les inserten pendrives infectados.



Sus pendrives quedarán asi protegidos para que no puedan transmitir virus de dicho tipo, y sus ordenadores no podrán ser infectados por otros pendrives no protegidos:


[quote]

vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y veremos si genera el mismo fichero o es otra variante. En cualquier caso podría enviarnos el fichero que le digamos, para asegurarnos que la utilidad que haremos el martes al respecto, controle su variante, sea igual o distinta a la del otro forero autor del tema.



saludos



ms, 11-10-2009

[msc hotline sat]

Buscando información al respecto, podría tratarse de esto:



http://spywaredlls.prevx.com/RRIDCE45044348/DIRTYSOCK.DLL.html



Pero solo es a nivel de comentario, ya veremos lo que es cuando noe envien las muestras, o en el último caso, cuando postee informes para pedirle las muestras



saludos



ms, 11-10-2009

[Mauser]

Una duda:



Para vacunar mis PenDrives, tanto el que está ya infectado, como los demás que están limpios, puedo meterles en el PC infectado para vacunarles?? o se me infectarán?

Saludos y mil gracias de nuevo :)

[Mauser]

En respuesta a su otro post, ya me descargué el Prevx hace 3 días, pero no consiguió pillar el virus.

[msc hotline sat]

Posiblemente se trata de una variante no conocida, por esto le pido que nos envie el log y veremos qué ficheros conviene que nos envie para analizar.



Incluso aunque se llamara igual que el del autor del Tema, podría contener otra variante.



Y sobre lo que pregunta, ante todo pruebe el ELIPEN en dicho ordenador y vacune dichos pendrives, asi tanto si lo están como sino, el virus que pudiera haber quedaría aparcado.



Pero para evitar las demas acciones que pudiera hacer dicho malware, como enviar datos al hacker, destruir datos de su ordenador, o cualquier otro payload que tuviera programado, hemos de analizarlo y para ello es prioritario que nos envie los logs pedidos, y asi poder saber los posibles ficheros a analizar.



saludos



ms, 11-10-2009

[Mauser]

Aquí tiene el Infosat, tras vacunar el disco duro de mi portatil (el 1er. ordenador infectado) y el Pendrive que fué portador del virus:



(11-10-2009 10:17:34)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado C:\Autorun.inf

SHELLEXECUTE = FIFA10-CDRUN.EXE

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida



Unidad D:\ Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



_____________________________________________________



Espero sus respuestas. Gracias una vez mas ;)

[msc hotline sat]

Pues como puede ver, en C:\ tenía este AUTORUN.INF que lanzaba el fichero malware en cuestion:


[quote]EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado C:\Autorun.inf

SHELLEXECUTE = FIFA10-CDRUN.EXE

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida[/quote]



Como sea que este AUTORUN.INF ya ha sido renombrado a AUTORUN.INF.OLD , no se ejecutará en el inicio y si no hay ninguna clave que lo lance, el fichero no se ejecutará, pero como que en el registro puede haber un P$ RUN que lo lance, conviene añadir .VIR a dicho fichero FIFA10-CDRUN.EXE , de forma que quede FIFA10-CDRUN.EXE.VIR , y ademas enviarnoslo para su analisis,junto con el AUTORUN.INF.OLD



Se trata efectivamente del mismo tipo de malware que el del autor del Tema, pero podría ser una variante del mismo, aunque usara el mismo nombre de fichero. Por ello es importante que nos lo envie para analizar



Aparte, y para ver si es lanzado por alguna clave, posteenos el informe que genera el SPROCES:


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 11-10-2009

[Mauser]

Amigo, intenté enviarle las muestras según el tutorial que puso en la pág. anterior. Seguí todos los pasos para comprimirlo con contraseña. Sin embargo, el WinZip sólo me permite poner una contraseña de 8 carácteres mínimo, no permitiéndome poner como contraseña "virus". Adjunto la screen.

[img]http://i34.tinypic.com/29mmz2s.jpg[/img]

De todos modos, aquí esta el informe del SCPROCES (disculpas por el tamaño):

(11-10-2009 16:12:01 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: PORTATIL

Nombre Usuario: Propietaria



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIFI\BIN\S24EVMON.EXE

C:\WINDOWS\SYSTEM32\BRSVC01A.EXE

C:\WINDOWS\SYSTEM32\BRSS01A.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIFI\BIN\EVTENG.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\UPDATE\GOOGLEUPDATE.EXE

C:\ARCHIVOS DE PROGRAMA\CANON\IJPLM\IJPLMSVC.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTEL\WIRELESSCOMMON\REGSRVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTSRV.EXE

C:\WINDOWS\SYSTEM32\WGATRAY.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\ARCHIVOS DE PROGRAMA\BENQ\QMUSIC2\QMAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\BENQ\Q-MEDIABAR\QBAR.EXE

C:\PROGRAM FILES\BENQ\QPOWER\QPOWER.EXE

C:\PROGRAM FILES\BENQ\Q-HOTKEYMGR\HOTKEYSENSOR.EXE

C:\ARCHIVOS DE PROGRAMA\ULEAD SYSTEMS\ULEAD PHOTO EXPLORER 8.0 SE BASIC\MONITOR.EXE

C:\WINDOWS\SM56HLPR.EXE

C:\ARCHIVOS DE PROGRAMA\REALTEK\INSTALLSHIELD\AZMIXERSEL.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\SAFARI\SAFARI.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPLPR.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\ARCHIVOS DE PROGRAMA\BENQ\QPRESENTATION\QPRESENTATION.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\PAPERPORT\PPTD40NT.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\SLYSOFT\CLONECD\CLONECDTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIFI\BIN\ZCFGSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTEL\WIRELESSCOMMON\IFRMEWRK.EXE

C:\ARCHIVOS DE PROGRAMA\BROTHER\BRMFCMON\BRMFCWND.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\REALTEK\REALTEK DVB-T USB DEVICE\IR_SERVER.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\DOCUMENTS AND SETTINGS\PABLO\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\UPDATE\GOOGLEUPDATE.EXE

C:\WINDOWS\SYSTEM32\WBEM\UNSECAPP.EXE

C:\ARCHIVOS DE PROGRAMA\UTORRENT\UTORRENT.EXE

C:\DOCUMENTS AND SETTINGS\PABLO\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\UPDATE\1.2.183.7\GOOGLECRASHHANDLER.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTMNG.EXE

C:\ARCHIVOS DE PROGRAMA\MSN TOOLBAR SUITE\DS\02.05.0001.1119\ES-ES\BIN\WINDOWSSEARCH.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\PAPERPORT\SMARTUI\SMARTUI.EXE

C:\ARCHIVOS DE PROGRAMA\ARCSOFT\TOTALMEDIA 3\TMMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\MSN TOOLBAR SUITE\DS\02.05.0001.1119\ES-ES\BIN\WINDOWSSEARCHINDEXER.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSA2DP.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTHID.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTHSP.EXE

C:\ARCHIVOS DE PROGRAMA\BROTHER\BRMFCMON\BRMFIMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\DOCUMENTS AND SETTINGS\PABLO\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\PABLO\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\PABLO\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\PABLO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Barra de herramientas de MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Barra de herramientas de MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll

O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Archivos de programa\SYSTRAN\5.0\Personal\IEPlugIn.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pablo\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [uTorrent] "C:\Archivos de programa\uTorrent\uTorrent.exe"

O4 - HKLM\..\Run: [QMusic2] "C:\Archivos de programa\BenQ\QMusic2\QMAgent.exe"

O4 - HKLM\..\Run: [Q-MediaBar] "C:\Archivos de programa\BenQ\Q-MediaBar\QBar.exe" /stop

O4 - HKLM\..\Run: [QPower] C:\Program Files\BenQ\QPower\QPower.exe /s

O4 - HKLM\..\Run: [Q-HotkeyMgr] "C:\Program Files\BenQ\Q-HotkeyMgr\HotkeySensor.exe"

O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [AzMixerSel] C:\Archivos de programa\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [QPresentation] C:\Archivos de programa\BenQ\QPresentation\QPresentation.exe /s

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\Scansoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\Scansoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Emurayden PSX Emulator]

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\WiFi\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Archivos comunes\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [jbsianfs] %systemroot%\jbsianfs.exe

O4 - HKLM\..\Run: [BrMfcWnd] C:\Archivos de programa\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [IR_SERVER] C:\Archivos de programa\Realtek\REALTEK DVB-T USB DEVICE\IR_SERVER.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Fifa 10 Startup patch] C:\Archivos de programa\FIFA 10\FIFA 10 support.exe

O4 - HKCU\..\Policies\Explorer\Run: [FIFA10] C:\Archivos de programa\FIFA 10\FIFA 10 support.exe

O4 - HKLM\..\Policies\Explorer\Run: [FIFA10] C:\Archivos de programa\FIFA 10\FIFA 10 support.exe

O4 - Startup: desktop.ini

O4 - Global Startup: Bluetooth Manager.lnk

O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: SmartUI.lnk

O4 - Global Startup: TMMonitor.lnk

O8 - Extra context menu item: &MSN Search - res://C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Archivos de programa\Bonjour\ExplorerPlugin.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/3/9/8/398422c0-8d3e-40e1-a617-af65a72a0465/LegitCheckControl.cab

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab Class) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {563DF2AD-1EB7-4C84-8DA8-52A0A134E30E} (IcsView Control) - https://software.securitasdirect.es/viewer/activex/icsview.cab

O16 - DPF: {5727FF4C-EF4E-4d96-A96C-03AD91910448} (System Requirements Lab Class) - http://www.srtest.com/srl_bin/sysreqlab_ind.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134006594859

O16 - DPF: {648B424D-2FD9-4F13-9417-EC8466614673} (SDFlPlyr Control) - https://software.securitasdirect.es/viewer/activex/sdflplyr.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} (Java Plug-in 1.4.2_04) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} (Java Plug-in 1.4.2_05) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DA98FF5C-CC9B-4AFF-9872-EED2196D1A58} (SDiCanTk Control) - https://www.securitasdirect.es/viewer/activex/sdicantk.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\MSERO.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Archivos de programa\Intel\WiFi\bin\EvtEng.exe

O23 - Service: Google Update Service (gupdate1c98ca5f430434) (gupdate1c98ca5f430434) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Archivos de programa\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Archivos de programa\Archivos comunes\Intel\WirelessCommon\RegSrvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Archivos de programa\Intel\WiFi\bin\S24EvMon.exe

O23 - Service: Transporte WLAN (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys

O23 - Service: STNTRTRO - Unknown owner - C:\WINDOWS\system32\drivers\STNTRTRO.sys (file missing)

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Controlador de filtro MFC de Brother (brfilt) - Brother Industries Ltd. - C:\WINDOWS\SYSTEM32\Drivers\Brfilt.sys

O23 - Service: Brother USB Still Image driver (BrScnUsb) - Brother Industries Ltd. - C:\WINDOWS\SYSTEM32\Drivers\BrScnUsb.sys

O23 - Service: Brother MFC Serial Port Interface WDM Driver (BrSerIf) - Brother Industries Ltd. - C:\WINDOWS\SYSTEM32\Drivers\BrSerIf.sys

O23 - Service: Controlador serie de Brother (BrSerWDM) - Brother Industries Ltd. - C:\WINDOWS\SYSTEM32\Drivers\BrSerWdm.sys

O23 - Service: Módem Brother MFC USB sólo Fax (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\SYSTEM32\Drivers\BrUsbMdm.sys

O23 - Service: Controlador de escáner USB MFC de Brother (BrUsbScn) - Brother Industries Ltd. - C:\WINDOWS\SYSTEM32\Drivers\BrUsbScn.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\SYSTEM32\Drivers\BrUsbSer.sys

O23 - Service: cel90xbe - Unknown owner - C:\DOCUME~1\Pablo\CONFIG~1\Temp\cel90xbe.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: ElbyDelay - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\drivers\HdAudio.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: jbmhmr.dll - Unknown owner - C:\Program Files\BenQ\Q-HotkeyMgr\jbmhmr.dll

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: QPowerHw.dll - Unknown owner - C:\Program Files\BenQ\QPower\QPowerHw.dll

O23 - Service: QPresentHw.dll - Unknown owner - C:\Archivos de programa\BenQ\QPresentation\QPresentHw.dll

O23 - Service: REALTEK 2831U BDA Driver (RTL2831UBDA) - REALTEK SEMICONDUCTOR Corp. - C:\WINDOWS\SYSTEM32\drivers\RTL2831UBDA.sys

O23 - Service: REALTEK 2831U USB Driver (RTL2831UUSB) - REALTEK SEMICONDUCTOR Corp. - C:\WINDOWS\SYSTEM32\Drivers\RTL2831UUSB.sys

O23 - Service: Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnicxp.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smserial - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\smserial.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: Bluetooth COM Port (tosporte) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tosporte.sys

O23 - Service: Bluetooth RFBUS (tosrfbd) - TOSHIBA CORPORATION - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfbd.sys

O23 - Service: Bluetooth RFBNEP (tosrfbnp) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\Drivers\tosrfbnp.sys

O23 - Service: Bluetooth RFHID (Tosrfhid) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\Tosrfhid.sys

O23 - Service: Bluetooth Personal Area Network (tosrfnds) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfnds.sys

O23 - Service: Bluetooth Audio (TosRfSnd) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\drivers\tosrfsnd.sys

O23 - Service: Bluetooth USB Controller (tosrfusb) - TOSHIBA CORPORATION - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfusb.sys

O23 - Service: USB Audio Device Interface (USBAU) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\CM102.sys (file missing)

O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2200BG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



59 Servicios.

17 de Carga Automatica.

41 de Carga Manual.

1 Deshabilitados.

[lucl]

Descargate el winrar y prueba a enviarnoslo empaquetandolo con el y nos comentas si pudiste, saludos.



www.winrar.es

[msc hotline sat]

Sí, algunas versiones de compresores piden un mínimo de 8 letras para el password, en tal caso usar "infected" en lugar de "virus" (sin comillas, claro) pero para no tener que ir probando, preferiblemente usar uno de 4 y "virus", siendo el WINRAR, indicado por lucl, uno de los que decimos.



Y sobre el informe enviado:



Del analisis del informe vemos estas claves sospechosas:





O4 - HKLM \ .. \ Run: [jbsianfs]% systemroot% \ jbsianfs.exe



O4 - HKLM \ .. \ Run: [FIFA 10 Patch de inicio] C: \ Archivos de programa \ FIFA 10 \ FIFA 10 SUPPORT.EXE



O4 - HKCU \ .. \ Policies \ Explorer \ Run: [FIFA10] C: \ Archivos de programa \ FIFA 10 \ FIFA 10 SUPPORT.EXE



O4 - HKLM \ .. \ Policies \ Explorer \ Run: [FIFA10] C: \ Archivos de programa \ FIFA 10 \ FIFA 10 SUPPORT.EXE



O23 - Service: STNTRTRO - Unknown owner - C:\WINDOWS\system32\drivers\STNTRTRO.sys (file missing)





Por ello, además del fichero pedido para analizar, enviennos tambien estos otros :



C:\Archivos de programa\FIFA 10\FIFA 10 SUPPORT.EXE

C:\windows\system32\jbsianfs.exe



y a ambos añadales la extension .VIR para que tras reiniciar no se pongan en marcha.



Mañana, cuando volvamos al trabajo en SATINFO, analizaremos las muestras recibidas e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos.



saludos



ms, 12-10-2009

[albertgranro]

Tengo el mismo problema, porfavor alguien que se ponga en contacto con migo por hotmail para intentar solucionarlo. INTERCEPTADOl.com



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



lucl

[msc hotline sat]

La info del PrevX era solo a título de informacion, la eliminacion total vendrá con la utilidad que hagamos al recibir las muestras solicitadas.



saludos



ms, 12-10-2009

[Mauser]

Gracias por vuestra ayuda. Mi PC parece que va mejor, aunque sigue apareciendo la aplicación WinHelper momentaneamente. Procedí a enviarles los archivos que me pidieron, a excepción de C:\windows\system32\jbsianfs.exe, ya que el programa EliMover me dice que no existe.



Espero sus respuestas. Saludos.

[lucl]

Para albertgranro



Este tema es de otro forero, si necesitas ayuda abrete uno para ti.





Para Mauser





Pues ya mañana te analizaran las muestras enviadas y veremos que resultado arrojan, en cualquier caso estate atento al foro a lo largo del dia, saludos

[msc hotline sat]

Gracias lucl, no me di cuenta de albertgranro que posteaba link con su MSN para que se le contactara a espaldas del foro... Todo se ha de hacer aqui, para conocimiento de todos.



Y para mauser, esto de que el jbsianfs.exe no lo hayas encontrado, mira por favor de hacerlo en modo seguro, y prueba con el ELIMOVER en estas dos rutas:



c:\windows\system32\jbsianfs.exe



c:\windows\jbsianfs.exe



en cualquier caso marca la casilla de añadirle .VIR al original...



Sería muy importante conseguir la muestra para analizar.



saludos



ms, 12-10-2009

[Mauser]

Lo he intentado de las dos formas, tanto en modo normal como a prueba de errores, con el EliPen y con el explorador de windows, y de ninguna de las formas encuentra el fichero. El EliMover me notifica que "No existe fichero". No se por que puede ser que no lo encuentre. Lo siento :(



Os parece bien si empiezo a seguir los mismos pasos en mi otro PC infectado??



Por cierto, ahora, al arrancar mi ordenador (el portatil, con el que estamos trabajando actualmente) ya no inicia la aplicación WinHelper, pero sí que arranca bastante lento. No es molesto, pero simplemente os lo comento por si os es de importancia.



Espero sus noticias. Mil gracias de nuevo ;)

[msc hotline sat]

Sobre todo en esta ruta: c:\windows\jbsianfs.exe



y arrancando en modo seguro.



Es donde deberia estar...



saludos



ms, 13-10-2009

[Mauser]

Nada... lo he intentado de las dos formas con las dos direcciones y no encuentra el archivo... Adjunto screens.

[img]http://i38.tinypic.com/kb2bkl.jpg[/img]

[img]http://i37.tinypic.com/2r59hfq.jpg[/img]

[msc hotline sat]

no, no, [b]es en C:\windows\[/b] , no en la carpeta de sistema, es que por la indicacion de O4 - HKLM \ .. \ Run: [jbsianfs]%systemroot%\jbsianfs.exe inicialmente apliqué a la variable de entorno %systemroot% la carpeta de sistema, si bien luego lo corregí... :oops:



Si no la encuentras, dejalo, mira lo que detecta la nueva version del ELISTARA 19.44 que ya está subida a esta web y nos posteas el informe resultante, gracias



saludos



ms, 13-10-2009