No se que es... (SOLUCIONADO)

[YulBriner]

Buenas tardes a todos.



Hoy me he encontrado en el Pc de mi trabajo lo siguiente:



[img]http://img2.imageshack.us/img2/5944/sinttulo1copiadb.jpg[/img]



Se me pone la pantalla así cada Dos minutos o así, lo cual se quita poniendo esos caracteres y dandole al Ok.



¿Alguien sabe que es?



Muchas gracias de antemano.

[msc hotline sat]

Es un sistema captcha para evitar que los robots accedan a webs publicas y filtrar con ello los spammers y demas sistemas que intentan acceder por medios automatizados a webs y foros, sin participacion humana...



El que hayan hecho un incordio con ello para fastidiar al projimo, es nuevo, pero seguro que es un fastidio !



Prueba el SPROCES y posteanos el informe resultante, veremos lo que hay residente y desde donde se carga, a ver si acertamos con la causa.


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 23-10-2009

[YulBriner]

Gracias. Aquí está el resultado:





(23-10-2009 17:19:09 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Nombre Equipo: P-21

Nombre Usuario: super



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\COMMON FRAMEWORK\FRAMEWORKSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\VIRUSSCAN\MCSHIELD.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\VIRUSSCAN\VSTSKMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT LIFECAM\MSCAMS32.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\GHOST\NGSERVER.EXE

C:\WINDOWS\SYSTEM32\PSISERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WACOM_TABLET.EXE

C:\ARCHIVOS DE PROGRAMA\TOMTOM HOME 2\TOMTOMHOMESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\GHOST\BIN\DBSERV.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\GHOST\BIN\RTENG7.EXE

C:\WINDOWS\SYSTEM32\WTABLET\WACOM_TABLETUSER.EXE

C:\WINDOWS\SYSTEM32\WACOM_TABLET.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\VIRUSSCAN\SHSTAT.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\COMMON FRAMEWORK\UPDATERUI.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\VVX1000.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\TOMTOM HOME 2\TOMTOMHOMERUNNER.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\SKYPE\PHONE\SKYPE.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\SKYPE\PLUGIN MANAGER\SKYPEPM.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\SUPER\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=Userinit.exe

O1 - Hosts: 127.0.0.1 activate.adobe.com

O1 - Hosts: 127.0.0.1 practivate.adobe.com

O1 - Hosts: 127.0.0.1 ereg.adobe.com

O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com

O1 - Hosts: 127.0.0.1 wip3.adobe.com

O1 - Hosts: 127.0.0.1 3dns-3.adobe.com

O1 - Hosts: 127.0.0.1 3dns-2.adobe.com

O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com

O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com

O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com

O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com

O1 - Hosts: 127.0.0.1 activate-sea.adobe.com

O1 - Hosts: 127.0.0.1 pagead2.googlesyndication.com

O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com

O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.comO2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME 2\TomTomHOMERunner.exe"

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NGServer] C:\Archivos de programa\Symantec\Ghost\ngserver.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe

O4 - HKLM\..\Run: [LifeCam] "C:\Archivos de programa\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [sysldtray] C:\windows\ld15.exe

O4 - HKLM\..\Run: [Captcha7] rundll "C:\Archivos de programa\captcha.dll",captcha

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_04) - http://java.sun.com/products/plugin/autodl/jinstall-150-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0B15F98C-2713-4202-AC6B-B130864FF4A8}: NameServer = 194.179.1.100,62.81.0.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Symantec Ghost Win32 Configuration Server (NGServer) - Symantec Corporation - C:\Archivos de programa\Symantec\Ghost\ngserver.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

O23 - Service: TomTomHOMEService - TomTom - C:\Archivos de programa\TomTom HOME 2\TomTomHOMEService.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys

O23 - Service: Broadcom Advanced Server Program Driver (Blfp) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\baspxp32.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Linux ext2 File system driver (Ext2Fsd) - Tuning Software (tuningsoft.com) - C:\WINDOWS\SYSTEM32\DRIVERS\EXT2FSD.SYS

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: PlayLinc Adapter (hamachi_oem) - Applied Networking Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\gan_adapter.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NaiAvFilter1 - Network Associates, Inc. - C:\WINDOWS\SYSTEM32\drivers\naiavf5x.sys

O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Archivos de programa\Symantec\Ghost\bin\dbserv.exe

O23 - Service: npkcrypt - Unknown owner - C:\Archivos de programa\Lineage II\system\npkcrypt.sys (file missing)

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: PSSdk23 - Unknown owner - C:\WINDOWS\system32\Drivers\PsSdk23.drv (file missing)

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Sony Ericsson Device 046 Driver driver (WDM) (SE2Ebus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Ebus.sys

O23 - Service: Sony Ericsson Device 046 USB WMC Modem Filter (SE2Emdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Emdfl.sys

O23 - Service: Sony Ericsson Device 046 USB WMC Modem Driver (SE2Emdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Emdm.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Wacom Mouse Filter Driver (wacommousefilter) - Wacom Technology - C:\WINDOWS\SYSTEM32\DRIVERS\wacommousefilter.sys

O23 - Service: Wacom Virtual Hid Driver (wacomvhid) - Wacom Technology - C:\WINDOWS\SYSTEM32\DRIVERS\wacomvhid.sys

O23 - Service: Virtual Keyboard Driver (WacomVKHid) - Wacom Technology - C:\WINDOWS\SYSTEM32\DRIVERS\WacomVKHid.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)



43 Servicios.

12 de Carga Automatica.

29 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

Sí, tienes estos tres ficheros sospechosos que debes enviarnos para analizar:



C:\windows\ld15.exe



C:\Archivos de programa\captcha.dll



C:\WINDOWS\system\smss.exe



(ojo, el último fijate que decimos de c:\windows\system\ , no de c:\windows\system32\   que es el del sistema )





y elimina estas claves:



O1 - Hosts: 127.0.0.1 activate.adobe.com

O1 - Hosts: 127.0.0.1 practivate.adobe.com

O1 - Hosts: 127.0.0.1 ereg.adobe.com

O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com

O1 - Hosts: 127.0.0.1 wip3.adobe.com

O1 - Hosts: 127.0.0.1 3dns-3.adobe.com

O1 - Hosts: 127.0.0.1 3dns-2.adobe.com

O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com

O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com

O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com

O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com

O1 - Hosts: 127.0.0.1 activate-sea.adobe.com

O1 - Hosts: 127.0.0.1 pagead2.googlesyndication.com

O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com

O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com



O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w



O4 - HKLM\..\Run: [sysldtray] C:\windows\ld15.exe



O4 - HKLM\..\Run: [Captcha7] rundll "C:\Archivos de programa\captcha.dll",captcha





para ello:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 23-10-1009

[YulBriner]

Muchas gracias. El lunes me pongo a ello cuando llegue al trabajo. :wink:

[msc hotline sat]

Sobre todo tras enviarnos dichos ficheros, no los borres, solo elimina las claves indicadas, pues si lo hicieras al revés, el RUNDLL daría error. Y además, asi, tras eliminar las claves, quedaran inactivos, y veremos si, con la nueva utilidad que haremos al respecto, los controla y elimina.



saludos



ms, 24-10-2009

[YulBriner]

Buenos dias. Ya estoy en ello.



Pero resulta que estos dos ficheros:
[quote]
C:\Archivos de programa\captcha.dll



C:\WINDOWS\system\smss.exe[/quote]

...para el ordenador no existen. No los encuentro en su directorio. He intentado rastrear con el buscador...y tampoco. Estan escondidos?

[msc hotline sat]

Pueden estar ocultos...



Descarga el ELIMOVER.EXE:



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp



(y marca la casilla inferior izquierda, para que, tras reiniciar, ya np puedan volver a ejecutarase)





Luego arranca en modo seguro y con ella los copias a C:\muestras, desde donde podrás enviarnoslos



saludos



ms, 26-10-2009

[YulBriner]

Hola. He tenido varios problemas y eso que he seguido al pie de la letra tus instrucciones y los mini-tutos de la web.



Primero, el elimover no me ha encontrado uno de ellos (Pero eso puede ser porque esta mañana he toqueteado algun programa de limpieza y puede que me lo haya eliminado, porque he visto como localizaba un archivo sospechoso.



Una vez encontrado el que permanecia oculto: [quote] C:\Archivos de programa\captcha.dll[/quote] he intentado ponerlos en un archivo zip junto con el [quote]C:\windows\ld15.exe[/quote] y no me ha dejado. O sea que os los he enviado por separado.



Luego, el winzip no me dejaba colocar la contraseña "virus" porque decia que tenia que tener como mínimo 9 carácteres. O sea que le he puesto "virusvirus".



En espera de nuevas notícias, un saludo cordial.

[msc hotline sat]

Pues muy bien, veremos si con estos es suficiente para controlar todo el virus e implementaremos su control y eliminacion en las nuevas versiones de nuestras utilidades, de lo cual informaremos



saludos



ms, 26-10-2009

[YulBriner]

Ok. Pero hay algo que no acabo de entender. Según tu penultimo post:


[quote]y marca la casilla inferior izquierda, para que, tras reiniciar, ya np puedan volver a ejecutarase[/quote]

...ya no deberia ejecutarse, no? porque sigue la cosa igual.



No se si he hecho algo mal, o tengo que esperar a que vosotros hagais algo con esos ficheros para reolver el problema.



Salud y gracias.

[msc hotline sat]

En la ventana del ELIMOVER veras una casilla en la parte inferior izquierda, marcala y vuelve a mirar si encuentra los ficheros en cuestion



y tenía esta respuesta preparada antes de que ciontestaras:


[quote]Recibidos los dos ficheros enviados, uno resulta ser un koobface y el otro una DLL que el preaanalisis no ha detectado nada.



Este ld15.exe añadale extension .VIR para que tras reiniciar ya no se ponga en marcha.



Si le incordia la dichosa pantalla, pruebelo de hacerlo arrancando en modo seguro, y tras añadir .VIR, vea si ya puede reiniciar sin molestias.



El Otro fichero, CAPTCHA.DLL, se supone que es utilizado por el mismo, pero puede ser librería posiblemente normal...



y el smss.exe que estaba en C:\windows, es una pena que lo eliminaras, pues igual nos quedamos a medias en la restauracion de claves modificadas, al no poderlo monitorizar y no ver lo que hacía, pero centraremos la atencion en el ld15.exe , y so tras probar la utilidad que digamos, no se soluciona totalmente, ya hableramos...



De todas formas, mira en la papelera y si lo puedes recuperar, envianoslo.[/quote]
saludos



ms, 26-10-2009

[YulBriner]

No quiero gritar muy alto por si acaso...porque solo han pasado 10 minutos desde que he reiniciado, peroooo...de momento no ha vuelto a suceder :D



Si no aparezco por aqui, es que todo ha ido genial. Muchísimas gracias. Un placer contar con gente como vosotros :wink:

[msc hotline sat]

Pues igualmente implementaremos el control y eliminacion de este Koobface en la proxima version del ELISTARA, para que en futuros casos lo detecte por exploracion y lo elimine.



Pero ya, por lo indicado, pasamos a dar este Tema por solucionado y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 26-10-2009