posible virus (SOLUCIONADO)

[dipo]

hola cuando escribo una dirección de cualquir pagina al arrancar el ordenador me sale otra pagina que no es la que habia escrito.Me lo hace dos veces seguidas y despues va bien ¿Puede ser un virus?

[dipo]

[quote="dipo"]hola cuando escribo una dirección de cualquir pagina al arrancar el ordenador me sale otra pagina que no es la que habia escrito.Me lo hace dos veces seguidas y despues va bien ¿Puede ser un virus? le he pasado el antivirus y no me dedtecta ninguno tengo bitdefender[/quote]

[msc hotline sat]

Entendido, si ya has pasado el antivirus igual es algo nuevo que no lo conoce.



Prueba el SPROCES y posteanos el informe resultante:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



29-11-2009

[msc hotline sat]

Me dicen que se ha recibido en zonavirus logs con tu nick, que han desechado.



Solo las muestras deben enviarse por mail, los informes postearlos en el foro:



viewtopic.php?f=1&t=17488



saludos



ms, 30-11-2009

[dipo]

GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: ANEMPODI-EB820F

Nombre Usuario: Anempodisto



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\BITDEFENDER\BITDEFENDER UPDATE SERVICE\LIVESRV.EXE

C:\ARCHIVOS DE PROGRAMA\BITDEFENDER\BITDEFENDER 2009\VSSERV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVMVFM\LVPRCSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\TOMTOM HOME 2\TOMTOMHOMESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\CONCEPTRONIC\CONCEPTRONIC 54MBPS WIRELESS UTILITY\WLANMON.EXE

C:\ARCHIVOS DE PROGRAMA\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE

C:\WINDOWS\STSYSTRA.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\VOICECENTER\ANDREAVC.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SBAUDIGY\SURROUND MIXER\CTSYSVOL.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\BITDEFENDER\BITDEFENDER 2009\BDAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\LOGITECH WEBCAM SOFTWARE\LWS.EXE

C:\DOCUME~1\ANEMPO~1\CONFIG~1\TEMP\CLCLEAN.0001

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\MEDIASOURCE\DETECTOR\CTDETECT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\TOMTOM HOME 2\TOMTOMHOMERUNNER.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\KITAIM\AIMMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCSOFT\PHOTOIMPRESSION 5\PI MONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LQCVFX\COCIMANAGER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\CREATIVE LABS SHARED\SERVICE\CREATIVELICENSING.EXE

C:\ARCHIVOS DE PROGRAMA\BITDEFENDER\BITDEFENDER 2009\SECCENTER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\ANEMPODISTO\MIS DOCUMENTOS\SPROCES.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\ANEMPODISTO\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: D - {6FD6CEE8-1152-3CBB-BBB2-BF626B43EE07} - C:\WINDOWS\system32\ew83686.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Archivos de programa\BitDefender\BitDefender 2009\IEToolbar.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [Creative Detector] "C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe" /R

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Anempodisto\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME 2\TomTomHOMERunner.exe"

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [VoiceCenter] "C:\Archivos de programa\Creative\VoiceCenter\AndreaVC.exe" /tray

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_SC1.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics]

O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\BitDefender\BitDefender 2009\bdagent.exe"

O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Archivos de programa\BitDefender\BitDefender 2009\IEShow.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\Logitech WebCam Software\LWS.exe" /hide

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - Startup: Logitech . Registro de productos.lnk

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: PI Monitor.lnk

O4 - Global Startup: Windows Search.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/3/9/E39C664F-A8E3-4F69-A109-1AE9849204EE/OGAControl.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228233343937

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228233483297

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4520988D-4A7C-4FDB-8AA0-D6E39989BD13}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ANIO Service (ANIO) - Alpha Networks Inc. - C:\WINDOWS\system32\ANIO.SYS

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BDVEDISK - BitDefender S.R.L. - C:\Archivos de programa\BitDefender\BitDefender 2009\BDVEDISK.sys

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Google Update Service (gupdate1c98910afde75a6) (gupdate1c98910afde75a6) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\livesrv.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: TomTomHOMEService - TomTom - C:\Archivos de programa\TomTom HOME 2\TomTomHOMEService.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Archivos de programa\BitDefender\BitDefender 2009\vsserv.exe

O23 - Service: NTPort Library Driver (zntport) - Unknown owner - C:\WINDOWS\system32\zntport.sys (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: SpeedTouch USB ADSL PPP Networking Driver (NDISWAN) (alcan5wn) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcan5wn.sys

O23 - Service: SpeedTouch ADSL Modem ATM Transport (alcaudsl) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcaudsl.sys

O23 - Service: BitDefender Arrakis Server (Arrakis3) - Unknown owner - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: BDFM (bdfm) - BitDefender S.R.L. Bucharest, ROMANIA - C:\WINDOWS\SYSTEM32\drivers\bdfm.sys

O23 - Service: BitDefender Firewall NDIS Filter Service (Bdfndisf) - BitDefender LLC - C:\WINDOWS\SYSTEM32\DRIVERS\bdfndisf.sys

O23 - Service: bdfsfltr - BitDefender S.R.L. Bucharest, ROMANIA - C:\WINDOWS\SYSTEM32\drivers\bdfsfltr.sys

O23 - Service: BDSelfPr - BitDefender S.R.L. - C:\Archivos de programa\BitDefender\BitDefender 2009\bdselfpr.sys

O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Archivos de programa\Archivos comunes\Creative Labs Shared\Service\CreativeLicensing.exe

O23 - Service: Creative SoundFont Management Device Driver (ctsfm2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\ctsfm2k.sys

O23 - Service: Creative SoundFont Synthesizer (CTUSFSYN) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctusfsyn.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: LVPr2Mon Driver (LVPr2Mon) - Logitech Inc. - C:\WINDOWS\SYSTEM32\Drivers\LVPr2Mon.sys

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech Inc. - C:\WINDOWS\SYSTEM32\drivers\LVUSBSta.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ctoss2k.sys

O23 - Service: Logitech QuickCam Express(PID_0928) (PID_0928) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LV561AV.SYS

O23 - Service: Profos - Unknown owner - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Threat Scanner\profos.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Conceptronic RT73 Wireles Driver (RT73) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\rt73.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: sigfilt - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\sigfilt.sys

O23 - Service: SigmaTel High Definition Audio CODEC (STHDA) - SigmaTel, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Trufos - BitDefender S.R.L. - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Threat Scanner\trufos.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



45 Servicios.

16 de Carga Automatica.

28 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Vemos este fichero atipico en uso:



C:\DOCUME~1\ANEMPO~1\CONFIG~1\TEMP\CLCLEAN.0001



y este será muy probablemente malicioso:



C:\WINDOWS\system32\ew83686.dll



envienoslos para analizar, pero especialmente al ew83686.dll añadale extension.VIR para que no se ponga en uso a partir del proximo reinicio





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 30-11-2009

[msc hotline sat]

Recibida la muestra, dice ser de microsoft, pero ...



No aparece ninguna referencia de dicho fichero en internet, lo cual es muy sospechoso, seguramente se trata de un malware con nombre variable



No nos ha llegado el otro fichero pedido. SI no lo encuentra, pruebe con el ELIMOVER, PUES SU ANALISIS PUEDE RESULTAR SIGNIFICATIVO...



Respecto a la DLL recibida, ew83686.dll, el hecho de no ser conocido por nadie y figurar ser de microsoft lo hace aun mas sospechosa, pero en el preanalisis ningun AV ha detectado nada, si bien por lo indicado, procederemos igualmente a su monitorizacion, de lo que ya informaremos



Supongo que han añadido .VIR a su extension, diganos si tras reiniciar persiste el problema o ya se ha solucionado, gracias



saludos



ms, 1-12-2009

[msc hotline sat]

Pues a pesar que ninguno de los 41 AV del VirusTotal detectan nada en la DLL de marras,



File ew83686.dll received on 2009.12.01 08:43:56 (UTC)


[quote]Result: 0/41 (0.00%)



File size: 229376 bytes

MD5 : 55cd83c69bd87ed1ababbc5084809410

SHA1 : 0c9610debf265c4812302ae3270f075d7fa26e6f [/quote]

por las pistas y características, aun indicando que era de microsoft ... (falso, claro), hemos procedido a la monitorizacion del fichero y visto que creaba un debugguer en el registro sobre un CTFMON.EXE atípico (no el del office) el cual ya es detectado por dos AV, Antivir y McAfee:



File ctfmon_pn.gxe received on 2009.12.01 12:40:51 (UTC)

Current status: finished



Result: 2/41 (4.88%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.5.0.43 2009.12.01 -

AhnLab-V3 5.0.0.2 2009.12.01 -

AntiVir 7.9.1.88 2009.12.01 TR/ATRAPS.Gen

Antiy-AVL 2.0.3.7 2009.12.01 -

Authentium 5.2.0.5 2009.12.01 -

Avast 4.8.1351.0 2009.12.01 -

AVG 8.5.0.426 2009.12.01 -

BitDefender 7.2 2009.12.01 -

CAT-QuickHeal 10.00 2009.12.01 -

ClamAV 0.94.1 2009.12.01 -

Comodo 3101 2009.12.01 -

DrWeb 5.0.0.12182 2009.12.01 -

eSafe 7.0.17.0 2009.11.30 -

eTrust-Vet 35.1.7150 2009.12.01 -

F-Prot 4.5.1.85 2009.11.30 -

F-Secure 9.0.15370.0 2009.11.29 -

Fortinet 4.0.14.0 2009.12.01 -

GData 19 2009.12.01 -

Ikarus T3.1.1.74.0 2009.12.01 -

Jiangmin 11.0.800 2009.12.01 -

K7AntiVirus 7.10.906 2009.11.27 -

Kaspersky 7.0.0.125 2009.12.01 -

McAfee 5818 2009.11.30 -

McAfee+Artemis 5818 2009.11.30 -

McAfee-GW-Edition 6.8.5 2009.12.01 Trojan.ATRAPS.Gen

Microsoft 1.5302 2009.12.01 -

NOD32 4651 2009.12.01 -

Norman 6.03.02 2009.12.01 -

nProtect 2009.1.8.0 2009.11.28 -

Panda 10.0.2.2 2009.11.30 -

PCTools 7.0.3.5 2009.12.01 -

Prevx 3.0 2009.12.01 -

Rising 22.24.01.09 2009.12.01 -

Sophos 4.48.0 2009.12.01 -

Sunbelt 3.2.1858.2 2009.12.01 -

Symantec 1.4.4.12 2009.12.01 -

TheHacker 6.5.0.2.082 2009.11.30 -

TrendMicro 9.100.0.1001 2009.12.01 -

VBA32 3.12.12.0 2009.11.30 -

ViRobot 2009.12.1.2065 2009.12.01 -

VirusBuster 5.0.21.0 2009.11.30 -

Additional information

File size: 10240 bytes

MD5 : ea5063a3f400817864697c55f6a3521a

SHA1 : d1199878ef2bf289a34ff95b60a6e8d616c7f3eb



Pues ambos ficheros, la DLL y este EXE, aparte de las claves que generan, pasan a ser controladas a partir del nuevo ELISTARA de hoy, 19.81 como Trojan BHOCTF



Con ello nos hemos adelantamos a la inmensa mayoria de antivirus en el control de esta nueva variante, gracias al analisis del SPROCES y la muestra solicitada al respecto.



A partir de las 19 horas de hoy estará disponible la nueva version de ELISTARA 19.81:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras descargarla y probarla, posteanos el contenido de c:\infosat.txt, gracias



saludos



ms, 1-12-2009

[dipo]

He añadido.vir ala extesion y reiniciado el ordenador va perfecto



gracias

[msc hotline sat]

Pues acabo de subir las nuevas versiones de utilidades al foro, descarga el nuevo ELISTARA y te detectará y eliminará el .VIR asi como restaurará las claves modificadas por el bicho.



Tras ello posteanos el infosat.txt resultante, para comprobar el proceso y la detección indicada, y si ya no persiste ninguna anomalia, daríamos el Tema por solucionado.



saludos



ms, 1-12-2009

[dipo]

Explorando "C:\"

C:\Muestras\CTFMON_PN.EXE.MUESTRA ELISTARTPAGE V19.79 --> Eliminado, Trojan.BHO.CTF(dbg)



Nº Total de Directorios: 5148

Nº Total de Ficheros: 62200

Nº de Ficheros Analizados: 19983

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1









--------------------------------------------------







(1-12-2009 18:43:41 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(1-12-2009 18:43:44 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5148

Nº Total de Ficheros: 62194

Nº de Ficheros Analizados: 19982

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[dipo]

Losiento lo habia puesto mal

un saludo

gracias

(1-12-2009 18:19:02 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{6FD6CEE8-1152-3CBB-BBB2-BF626B43EE07}" -> C:\WINDOWS\system32\ew83686.dll

Eliminados Ficheros Temporales del IE



(1-12-2009 18:20:10 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\CTFMON_PN.EXE.MUESTRA ELISTARTPAGE V19.79 --> Eliminado, Trojan.BHO.CTF(dbg)



Nº Total de Directorios: 5148

Nº Total de Ficheros: 62200

Nº de Ficheros Analizados: 19983

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1









--------------------------------------------------







(1-12-2009 18:43:41 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(1-12-2009 18:43:44 (GMT))

EliStartPage v19.81 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5148

Nº Total de Ficheros: 62194

Nº de Ficheros Analizados: 19982

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Con lo que veo entiendo que el problema esta solucionado, es asi? Confirmanoslo gracias y saludos.

[dipo]

problema solucionado



gracias

[msc hotline sat]

Perfecto, gracias



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 2-12-2009