el symantec detecta troyanos en muchisimos archivos .tmp (SOLUCIONADO)

[eljavido]

Hola, al principio me pasaba esto: las letras y fotos de los navegadores aparecian y desaparecian, tanto IE como Mozilla, el outlook Express se inutilizaba (no podia recibir, mover ni eliminar mensajes), la maquina se pone lenta, y a veces se tilda teniendo que resetear, el symantec se vueve loco detectando infecciones.



Me di cuenta que el problema viene despues de que uso internet, cuando voy a pasar el ccleaner, al llegar al 20% que es cuando limpia los archivos temporales, el norton se dispara y empiece a encontrar como archivos infectados muchisimos archivos .tmp



comence scaneando con Spyware Doctor y luego Symantec, detectaron muchisimas infecciones, uno de los virus causantes era llamado por Spyware Doctor: "Backdoor.Hupigon.Gen", con 1200 infecciones o mas (todos archivos .tmp), parecia que lo eliminaba, pero Symantec sigue poniendose loco, y todos los sintomas persistian



asi que encontre su pagina y fui muy exhaustivo, scanie en modo seguro y normal con SUPERAntiSpyware(detecto y elimino)/Spybot - Search & Destroy/Malwarebytes' Anti-Malware (detecto y elimino)/SpywareBlaster, Sophos Anti-Rootkit 1.5/ Panda Anti-Rootkit/ Kaspersky On Line/Panda on line,



luego CCleaner (limpieza y registro)/MRU-Blaster/ATF Cleaner



limpie el registro con Regseeker, los clusters dañados con tune up, defragmente con Smart Defrag, optimice con tune up 2009



desinstale algunos de los programas involucrados en el problema y los volvi a instalar jdownloader, msn, firefox



pase el Dr.Web, y encontro varias cosas, primero un cambio en los ficheros Host (algo asi), por otro lado, varios archivos .vnb en la carpeta de cuarentena de Symantec, y cmdow.exe, les pego una foto 1 de lo que encontro.



Después de esto el problema desaparecio por un tiempo (10 dias), hasta que el symantec se disparo de vuelta detectando infecciones en archivos .tmp, y el Spyware doctor vuelve a encontrar el "Backdoor.Hupigon.Gen", pero esta vez solo 7 infecciones (contra miles que detectaba antes) en la carpeta de cuarentena del symantec, con la diferencia que esta vez ya no se me tilda el Outlook, los navegadores de Internet funcionan bien, el unico sintoma es que se dispara el symantec, en modo seguro volvi a pasar SUPERAntiSpyware foto 2/Spybot - Search & Destroy/Malwarebytes' Anti-Malware/Sophos Anti-Rootkit 1.5 (en modo normal encontro algo, ver foto 3)/Panda Anti-Rootkit, Spysweeper y ninguno detecto nada con respecto a esos .tmp



probe pasando el Elistara , ELITRIIP, ELIBAGLA, Elimover, pero no detectan nada



tengo las fotos de lo que me devolvieron algunos antivirus, no se como pegarlas (si es que se puede)



como veran le estoy dando batalla, con todos los antivirus, y mi temor en realidad es insertar un pen drive o disco portátil para cargar información en estos, y lo que sea que me esta afectando contagie a otras computadoras o USBs, es esto posible?



como sigue pasando lo mismo asi me incline al HijackThis como ultima opción, o si ustedes me dicen paso el SProces, a ver si detecta algo ya que no se leerlo, bueno espero que puedan ayudarme, saludos y gracias



------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:05:05, on 19/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\Webroot\WebrootSecurity\WRConsumerService.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Symantec\Symantec Endpoint Protection\Smc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\cisvc.exe

C:\Archivos de programa\Nero\Nero8\InCD\InCDsrv.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\snmp.exe

C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Symantec\Symantec Endpoint Protection\Rtvscan.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\Archivos de programa\Webroot\WebrootSecurity\SpySweeper.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Symantec\Symantec Endpoint Protection\SmcGui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\sttray.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Archivos de programa\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SigmatelSysTrayApp] "C:\WINDOWS\sttray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\WebrootSecurity\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [CTFMON.EXE] "C:\WINDOWS\system32\ctfmon.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2009\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: &Download by Arles Download Manager - C:\Documents and Settings\jdojas\Configuración local\Datos de programa\Ariel Download Manager\DownloadManager.htm

O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mylan.com.ar

O17 - HKLM\Software\..\Telephony: DomainName = mylan.com.ar

O17 - HKLM\System\CCS\Services\Tcpip\..\{ADAEC826-C1CE-48BC-BEC1-9B41FD5C1094}: NameServer = 192.168.0.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mylan.com.ar

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mylan.com.ar

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = mylan.com.ar

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Webroot Reset (.webroot_reset) - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\Webroot\Webroot_Reset.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero8\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Archivos de programa\Symantec\Symantec Endpoint Protection\Smc.exe

O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Archivos de programa\Symantec\Symantec Endpoint Protection\SNAC.EXE

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe

O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Archivos de programa\Symantec\Symantec Endpoint Protection\Rtvscan.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. (http://www.webroot.com) - C:\Archivos de programa\Webroot\WebrootSecurity\SpySweeper.exe

O23 - Service: Webroot Client Service (WRConsumerService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\WebrootSecurity\WRConsumerService.exe



--

End of file - 12958 bytes

[msc hotline sat]

Pues ha probado muchas cosas pero parece que le falta el ELIPEN, una gran pequeña utilidad :) que impide la propagacion de virus de pendrive:







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



y respecto al log del HJT; recuerde https://foros.zonavirus.com/viewtopic.php?f=13&t=29543



Vemos tan solo accesos a estos laboratorios farmaceuticos:



mylan.com.ar



confirme que es voluntario...



y con el contenido del infosat.txt que le pedimos, veremos los informes de los anteriores ELISTARA y ELITRIIP que probó, pero que no posteó el informe resultante. Tras verlo, procederemos en consecuencia



saludos



ms, 20-10-2009

[eljavido]

Hola, gracias por la pronta respuesta pego la información en el sig. orden:



1) infosat.txt

2) Sproces



me olvide de decirte que el elipen lo habia pasado tambien; y puse mal anteriormente, pase el elitempo no el elimover



Tambien te consulto ya que no entendi esto de la respuesta anterior:



“Vemos tan solo accesos a estos laboratorios farmaceuticos:



mylan.com.ar



confirme que es voluntario...”





(12-10-2009 17:54:03 (GMT))

EliStartPage v19.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-10-2009 17:55:23 (GMT))

EliStartPage v19.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\CMDOW.EXE --> Infectado, Tool-HideWindow



Nº Total de Directorios: 21157

Nº Total de Ficheros: 153863

Nº de Ficheros Analizados: 37277

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



(12-10-2009 18:24:03 (GMT))

EliStartPage v19.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 2135

Nº Total de Ficheros: 29548

Nº de Ficheros Analizados: 1372

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(12-10-2009 18:26:02 (GMT))

EliStartPage v19.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\BKP_HDOLD\Documentos\ordenar\MANDAR\PROYECTO LABORATORIOS MULTIPLES MEDICAMENTOS.EXE --> Infectado, LowZones(dr)



Nº Total de Directorios: 5355

Nº Total de Ficheros: 62915

Nº de Ficheros Analizados: 12939

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



(12-10-2009 18:30:48)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad D:\ Protegida



Unidad E:\ Protegida



(12-10-2009 18:31:35)

EliBagle v12.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(12-10-2009 18:31:41)

EliBagle v12.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 21160

Nº Total de Ficheros: 153864

Nº de Ficheros Analizados: 16239

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(12-10-2009 18:41:42)

EliBagle v12.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 16

Nº Total de Ficheros: 406

Nº de Ficheros Analizados: 58

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(12-10-2009 18:41:49)

EliBagle v12.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 2138

Nº Total de Ficheros: 29549

Nº de Ficheros Analizados: 367

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(12-10-2009 18:43:8)

EliBagle v12.98 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 5358

Nº Total de Ficheros: 62916

Nº de Ficheros Analizados: 3746

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(12-10-2009 18:46:09) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminado Servicio, "SCardSvr"



(12-10-2009 18:46:55) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 21159

Nº Total de Ficheros: 153864

Nº de Ficheros Analizados: 33968

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(12-10-2009 18:58:59) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 2138

Nº Total de Ficheros: 29549

Nº de Ficheros Analizados: 730

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(12-10-2009 19:01:14) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\BKP_HDOLD\Documentos\ordenar\MANDAR\Proyecto Laboratorios Multiples Medicamentos.exe --> Eliminado, FireDaemon(dr)



Nº Total de Directorios: 5358

Nº Total de Ficheros: 62916

Nº de Ficheros Analizados: 12494

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(20-10-2009 13:12:30 (GMT))

EliStartPage v19.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(20-10-2009 13:12:39 (GMT))

EliStartPage v19.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 21393

Nº Total de Ficheros: 154096

Nº de Ficheros Analizados: 37382

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(20-10-2009 13:27:48 (GMT))

EliStartPage v19.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 2108

Nº Total de Ficheros: 29357

Nº de Ficheros Analizados: 1240

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(20-10-2009 13:32:45 (GMT))

EliStartPage v19.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 5350

Nº Total de Ficheros: 62892

Nº de Ficheros Analizados: 12938

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(20-10-2009 13:38:10 (GMT))

EliStartPage v19.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2009)



-------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------



(20-10-2009 14:03:28 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: FAMILIA

Nombre Usuario: jdojas



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\ARCHIVOS DE PROGRAMA\WEBROOT\WEBROOTSECURITY\WRCONSUMERSERVICE.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\SYMANTEC ENDPOINT PROTECTION\SMC.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSVCHST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\CISVC.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO8\INCD\INCDSRV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\WINDOWS\SYSTEM32\SNMP.EXE

C:\ARCHIVOS DE PROGRAMA\SIGMATEL\C-MAJOR AUDIO\WDM\STACSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\TUPROGST.EXE

C:\ARCHIVOS DE PROGRAMA\WEBROOT\WEBROOTSECURITY\SPYSWEEPER.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\SYMANTEC ENDPOINT PROTECTION\SMCGUI.EXE

C:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\WINDOWS\STTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2009\MEMOPTIMIZER.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMINDEXSTORESVR.EXE

C:\WINDOWS\SYSTEM32\CIDAEMON.EXE

C:\WINDOWS\SYSTEM32\CIDAEMON.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\SYMANTEC ENDPOINT PROTECTION\RTVSCAN.EXE

D:\JUEGOS\ELIS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Archivos de programa\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKCU\..\Run: [CTFMON.EXE] "C:\WINDOWS\system32\ctfmon.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2009\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe"

O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SigmatelSysTrayApp] "C:\WINDOWS\sttray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\WebrootSecurity\SpySweeperUI.exe" /startintray

O4 - Startup: desktop.ini

O8 - Extra context menu item: &Download by Arles Download Manager - C:\Documents and Settings\jdojas\Configuración local\Datos de programa\Ariel Download Manager\DownloadManager.htm

O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ADAEC826-C1CE-48BC-BEC1-9B41FD5C1094}: NameServer = 192.168.0.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Webroot Reset (.webroot_reset) - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\Webroot\Webroot_Reset.exe

O23 - Service: ACEDRV09 - Protect Software GmbH - C:\WINDOWS\system32\drivers\ACEDRV09.sys

O23 - Service: acedrv10 - Protect Software GmbH - C:\WINDOWS\system32\drivers\acedrv10.sys

O23 - Service: acehlp10 - Protect Software GmbH - C:\WINDOWS\system32\drivers\acehlp10.sys

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

**O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero8\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

*O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Archivos de programa\Symantec\Symantec Endpoint Protection\Smc.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe

**O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Archivos de programa\Symantec\Symantec Endpoint Protection\Rtvscan.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

**O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. (www.webroot.com) - C:\Archivos de programa\Webroot\WebrootSecurity\SpySweeper.exe

**O23 - Service: Webroot Client Service (WRConsumerService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\WebrootSecurity\WRConsumerService.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Promethean Serial Board Driver (ActivHidSerMini) - Promethean Technologies Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\activhidsermini.sys

O23 - Service: Ad-Watch Connect Kernel Filter (Ad-Watch Connect Filter) - Unknown owner - C:\WINDOWS\system32\drivers\NSDriver.sys (file missing)

O23 - Service: AW Real-Time Scanner (Ad-Watch Real-Time Scanner) - Unknown owner - C:\WINDOWS\system32\drivers\AWRTPD.sys (file missing)

O23 - Service: Ad-Watch Registry Kernel Filter (Ad-Watch Registry Filter) - Unknown owner - C:\WINDOWS\system32\drivers\AWRTRD.sys (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: AGN Virtual Network Adapter (avpnnic) - AT&T - C:\WINDOWS\SYSTEM32\DRIVERS\avpnnic.sys

O23 - Service: COH_Mon - Symantec Corporation - C:\WINDOWS\system32\Drivers\COH_Mon.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: EraserUtilRebootDrv - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\system32\drivers\mbam.sys

O23 - Service: MEMSWEEP2 - Unknown owner - C:\WINDOWS\system32\19.tmp (file missing)

O23 - Service: Motorola USB CDC ACM Driver (motmodem) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motmodem.sys

O23 - Service: NAVENG - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20091019.002\NAVENG.SYS

O23 - Service: NAVEX15 - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20091019.002\NAVEX15.SYS

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: Promethean HID Mouse Service (prmvmouse) - Promethean Technologies Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\activmouse.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Sonic Focus Plugin for Sigmatel HDA (sfng32) - Sonic Focus, Inc - C:\WINDOWS\SYSTEM32\drivers\sfng32.sys

O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Archivos de programa\Symantec\Symantec Endpoint Protection\SNAC.EXE

O23 - Service: SPBBCDrv - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCDrv.sys

O23 - Service: SRTSPL - Symantec Corporation - C:\WINDOWS\SYSTEM32\Drivers\SRTSPL.SYS

O23 - Service: SigmaTel High Definition Audio CODEC (STHDA) - SigmaTel, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys

O23 - Service: SymEvent - Symantec Corporation - C:\WINDOWS\system32\Drivers\SYMEVENT.SYS

O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

O23 - Service: Teefer2 Miniport (Teefer2) - Symantec Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\teefer2.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: vsinstdv - Unknown owner - C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\{61BE70C4-0591-419B-BCF5-AD00F9B22E6F}\vsinstdv.sys (file missing)

O23 - Service: WpsHelper - Symantec Corporation - C:\WINDOWS\system32\drivers\WpsHelper.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: InCD File System (InCDfs) - Nero AG - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: vsdatant - Unknown owner - C:\WINDOWS\SYSTEM32\a (file missing)



71 Servicios.

23 de Carga Automatica.

44 de Carga Manual.

4 Deshabilitados.

[msc hotline sat]

Sí, fijate que tienes como servidores de DNS estas entradas:



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mylan.com.ar

O17 - HKLM\Software\..\Telephony: DomainName = mylan.com.ar

O17 - HKLM\System\CCS\Services\Tcpip\..\{ADAEC826-C1CE-48BC-BEC1-9B41FD5C1094}: NameServer = 192.168.0.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mylan.com.ar

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mylan.com.ar

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = mylan.com.ar



en las que muchas ureferencian al servidor de mylan.com.ar



por esto te preguntaba si era voluntario... supongo que debes conocerlo, por ser de Argentina, aunque me consta lo grande que es :lol: :lol: :lol:



saludos



ms, 20-10-2009

ref AR/BA-34.58-58.67

[eljavido]

creo que es la red de mi casa, hay un router, y esta maquina con dos notebooks (wifi), puede ser que haya algun problema derivado de eso?



ademas de eso se ve algo mas raro con el SPROCES?,



estoy empezando a pensar que lo que esta funcionando mal es el SYMANTEC, porque ninguno antivirus detecta nada raro, y el symantec es el unico que se vuelve loco, vos que opinas?

[msc hotline sat]

NO, en el SPROCLOG.TXT solo se ve raro lo indicado de mylan.com.ar, Vd sabrá si lo conoce y es normal...



Y efectivamente, puede haber quedado mal instalado el antivirus y dar falsas alarmas. Si ningun otro detecta nada ...



Pruebe desenstalarlo e instalarlo de nuevo



Para ello hay esta utilidad : http://service1.symantec.com/Support/tsgeninfo.nsf/docid/2005033108162039



Tras ello, nos cuentas el resultado, gracias



saludos



ms, 21-10-2009

[eljavido]

Buenisimo el dato del norton removal tool, aprovecho y te consulto, estaba pensando desintalar el norton e instalar el Nod 32, tengo 3 dudas



-me conviene primero instalar el Nod32 y despues desintalar el symantec, cosa de que no quedar desprotegido entre que desintalo uno e instalo el otro



-cuando desinstalo el norton que pasa con todos los virus que estan en cuarentena?



-toda esta desinstalacion e instalacion del nuevo antivirus lo hago en modo seguro o modo normal?





saludos y perdon por tantas preguntas

[msc hotline sat]

No debe haber dos antivirus residentes. Desinstale uno antes de instalar el otro.



La carpeta de cuarentena es propia de cada antivirus. Evidentemente al desinstalarlo lo mas seguro es que se pierdan dichos ficheros, pues acostumbran a estar cifrados, pero esto lo puede ver segun los ficheros que allí haya.



Las desinstalaciones de cualquier aplicacion se puede y es mejor hacerlo en modo seguro, pero la instalacion de cualquier programa debe hacerse en modo normal



saludos



ms, 21-10-2009

[eljavido]

te agradezco toda la ayuda, pruebo desinstalar el antivirus e instalar uno nuevo y te cuento si siguen apareciendo troyanos en archivos .tmp



saludos y nuevamente gracias

[msc hotline sat]

ok, dejo el Tema abierto pendiente de tus noticias



saludos



ms, 21-10-2009

[eljavido]

hola, te cuento que todavia no desinstale el antivirus pero encontre cosas interesantes buscando sobre mi problema en paginas en ingles, en español no encontre casi nada, aparentemente es un problema de symantec, y es tal cual como encontre en este link, parece que el problema viene cada vez que uno intenta actualizar,



http://www.symantec.com/connect/forums/generic-trojan-dwhtmp-temp-folder



ahi dice que se soluciona con un parche, pero yo tengo una version posterior 11.0.780.1109, la verdad el Norton me esta trayendo muchisimos dolores de cabeza, otra solución que ofrecen es desinstalarlo y volver a instalar, y luego copiar un archivo desde otra maquina, leanlo que parece una buena solución, yo todavia no la probe



si tengo alguna otra novedad la subo aqui si les interesa



Saludos

eljavido

[msc hotline sat]

Le aconsejo que desinstale esta version e instale la actual.



Para ello puede usar SYMANTEC REMOVER TOOL:



http://service1.symantec.com/Support/tsgeninfo.nsf/docid/2005033108162039



(O mejor dicho Norton Remover Tool)



saludos



ms, 26-10-2009

[Norton-Forum-Assist]

Hola eljavido,



Mi nombre es Daniel y trabajo en un equipo de soporte externo para Symantec.



Asegúrate de estar utilizando la versión más reciente de Norton visitando http://www.norton.com/nuc. Hay muchas tecnologías nuevas diseñadas para hacer frente a los programas maliciosos creados para 2010. Te recomendaría que te hicieses con la versión más reciente y ejecutases un análisis completo de tu equipo. Si Norton no ha eliminado todo antes de crear nuevos archivos, puedes ejecutar el análisis en Modo seguro/a prueba de fallos.



Saludos, Daniel

Norton Forum Assist Team

[msc hotline sat]

Te has leido el post anterior, ??? no dupliques instrucciones Daniel, ello da a los moderadores el trabajo de leerte innecesariamente !



saludos



ms, 27-10-2009

[eljavido]

Hola a todos, les cuento que una de las dos maquina donde tenia el Norton lo desinstale e instale el avast como antivirus y el comodo como firewall, ademas utilizo spyware blaster en segundo plano, y ahora la maquina me vuela, ya no se me tilda y los antispyware no detectan cosas raras



en la otra maquina donde todavia tengo instalado el el Symantec Antivirus (pero version del programa 10.2.0.276) la maquina va joya asi que se lo deje, lo unico que el otro dia le hice un scan online con el panda y detecto 8 cookies espias, pero no es gran problema,



aprovecho y hago una pregunta, es mas seguro el uso de la computadora si cada vez que dejo de usar internet la desconecto y vuelvo a conectar cuando lo necesita?. yo por ejemplo uso 10 minutos, desconecto, trabajo offline media hora y vuelvo a conectar, y asi sucesivamente, trabajar de este modo agrega seguridad o la resta?



Gracias a todos

Saludos

eljavido

[msc hotline sat]

Pues las cookies detectadas por Panda, son mas bien informativas, aunque fueran procedentes de malwares, no son necesariamente maliciosas, pero puede eliminarlas junto con los temporales e internet , con el ELITEMPO:



ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



y correcto todo lo que hizo, siga así :) !



Sobre si es mejor dejar abierto el navegador mientras trabaja en otras cosas, mejor cerrarlo para tener menos ventanas abiertas y no ocupar innecesariamente CPU al respecto, además de evitar en lo posible posibles intrusiones desde URL que mantuviera abiertas, nunca se sabe...



Y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 8-11-2009