Problema con mis flash drives

[arqrafaelgarcia]

Hola buen día.



Tengo problemas con mi flash drives (memorias usb). Comenzó con una kingston que pusieron sin autorización en mi equipo, al principio si la reconoció pero luego comenzó a mostrar una leyenda de buscando controlador, y todo los globos de info que muestra siempre Windows XP acto seguido dijo que tenia problemas luego salio la leyenda de dispositivo de disco extraible encontrado y el explorador lo mostraba como si fuera una unidad de disco y no una memoria, y el día de hoy ya no detecta ninguna de mis otras memorias en ninguno de los dos puertos en las que las conecto. Corrí el EliStarA, EliTriIP (este dijo que había una intrusión) y el elipen pero no puedo correrlo por ke dice que la unidad tiene error. Pongo los resultados de los análisis. Ojala me puedan recomendar un programa para revisar este desperfecto.



Gracias.



P.D. Ahora estoy corriendo el NOD 32 y no ha detectado nada. :!:

------------------



(5-2-2010 16:06:03 (GMT))

EliStartPage v20.24 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancomer.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancomer.com

Linea Eliminada del HOSTS --> 0.0.0.0 bancomer.com

Linea Eliminada del HOSTS --> 0.0.0.0 bancomer.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 bancanetempresarial.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 boveda.banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancanetempresarial.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.boveda.banamex.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(5-2-2010 16:06:09 (GMT))

EliStartPage v20.24 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13822

Nº Total de Ficheros: 111123

Nº de Ficheros Analizados: 20992

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-2-2010 16:38:35) (GMT)

EliTriIP v6.46 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancomer.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancomer.com

Linea Eliminada del HOSTS --> 0.0.0.0 bancomer.com

Linea Eliminada del HOSTS --> 0.0.0.0 bancomer.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 bancanetempresarial.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 boveda.banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancanetempresarial.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.boveda.banamex.com



(5-2-2010 16:38:41) (GMT)

EliTriIP v6.46 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13822

Nº Total de Ficheros: 110981

Nº de Ficheros Analizados: 18641

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-2-2010 16:56:17)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad A:\ No se Pudo Proteger





_____________



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044

Ya se le habia advertido en https://foros.zonavirus.com/viewtopic.php?f=5&t=29204&start=0

SI REINCIDE NO HABRA MAS AVISOS

[msc hotline sat]

Pues ojo que se han regenerado las claves maliciosas en el HOSTS, y ello quiere decir que tiene un malware que está regenerandolas !



Descargue el SPROCES y posteenos el informe resultante:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 5-2-2010

RMX



NOTA:

y el prendrive, tras salvar su contenido, formateelo con esta

[url=http://hp-usb-disk-storage-format-tool.softonic.com/]utilidad de HP[/url]





OJO ! y descargue la version actual del ELISTARA, esta es antigua ... :cry: lA ACTUAL ES LA 20.27, y siempre se ha de probar la última disponible !!!

[arqrafaelgarcia]

Hola gracias pero instale el PER 2010 junto con el PERUSB y me detecto uno llamado TRAYMGR.EXE pero solo me lo detecto en una memoria las otras siguen sin funcionar, con gusto les mandaría una muestra pero en el PER no se donde guarde el documento si me pudieran indicar con gusto lo envío.

[arqrafaelgarcia]

Tras correr el programa SPROCES me genero lo siguiente.



-------



(5-2-2010 20:31:38 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: RAFAEL

Nombre Usuario: administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ARCSOFT\CONNECTION SERVICE\BIN\ACSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\HASPLMS.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\NERO BACKITUP 4\NBSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\PERSYSTEMS\PERAV\PERVACNT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SAFENET SENTINEL\SENTINEL KEYS SERVER\SNTLKEYSSRVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SAFENET SENTINEL\SENTINEL PROTECTION SERVER\WINNT\SPNSRVNT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\SYSAID\ILIAS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ARCSOFT\CONNECTION SERVICE\BIN\ACDAEMON.EXE

C:\ARCHIV~1\PERSYS~1\PERAV\PAV.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\NCLAUNCH.EXE

C:\ARCHIV~1\PERSYS~1\PERAV\PERTSK.EXE

C:\ARCHIVOS DE PROGRAMA\STARDOCK\OBJECTDOCK\OBJECTDOCK.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLE TALK\GOOGLETALK.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\GOOGLE TALK PLUGIN\GOOGLETALKPLUGIN.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\WINDOWS\SYSTEM32\VIRTUALEXPANDER\VIRTUALEXPANDER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\ARCHIV~1\PERSYS~1\PERAV\PERUSB2010.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\DOWNLOADS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts:

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts: 0.0.0.0 http://www.bancomer.com.mx

O1 - Hosts: 0.0.0.0 http://www.bancomer.com

O1 - Hosts: 0.0.0.0 bancomer.com

O1 - Hosts: 0.0.0.0 bancomer.com.mx

O1 - Hosts: 0.0.0.0 banamex.com

O1 - Hosts: 0.0.0.0 http://www.banamex.com

O1 - Hosts: 0.0.0.0 banamex.com.mx

O1 - Hosts: 0.0.0.0 bancanetempresarial.banamex.com.mx

O1 - Hosts: 0.0.0.0 boveda.banamex.com

O1 - Hosts: 0.0.0.0 http://www.banamex.com.mx

O1 - Hosts: 0.0.0.0 http://www.bancanetempresarial.banamex.com.mx

O1 - Hosts: 0.0.0.0 http://www.boveda.banamex.com

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} - C:\Archivos de programa\Zynga\tbZyn1.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {9c905b42-976e-43c1-bc30-fc5937017909} - (no file)

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} - C:\Archivos de programa\Zynga\tbZyn1.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe

O4 - HKLM\..\Run: [XML] C:\WINDOWS\system32\xmlwin.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACDaemon.exe

O4 - HKLM\..\Run: [PerUsb] C:\ARCHIV~1\PERSYS~1\perav\PerUsb2010.exe

O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE

O4 - Startup: Stardock ObjectDock.lnk

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {15589FA1-C456-11CE-BF01-00AA0055595A} - http://w4s2.work4sure.com/c/ge/w4sgeen10.exe

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/b/e/5/be592e3e-4442-4588-b01e-8fe3a2e104ac/LegitCheckControl.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab

O16 - DPF: {4B9F2C37-C0CF-42BC-BB2D-DCFA8B25CABF} - http://zone.msn.com/bingame/rock/default/popcaploader1.cab

O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {8C279F4E-917E-4CD2-8DF0-D9C73C0CE763} (ZPA_WheelOfFortune Object) - http://zone.msn.com/bingame/zpagames/zpa_wof.cab55579.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/products/plugin/autodl/jinstall-150-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/bejeweled2/sis/popcaploader_v10.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{180366E7-6590-4970-8E00-DD56ADE58710}: NameServer = 192.168.1.65,192.168.1.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: NAVLOGON - (no file)

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: aksfridge - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\drivers\aksfridge.sys

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Servicio de actualización de Google (gupdate1c991e04ffdba60) (gupdate1c991e04ffdba60) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Hardlock - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVACNT.EXE

O23 - Service: PfModNT - Creative Technology Ltd. - C:\WINDOWS\system32\PfModNT.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sentinel - SafeNet, Inc. - C:\WINDOWS\System32\Drivers\SENTINEL.SYS

O23 - Service: Sentinel Keys Server (SentinelKeysServer) - SafeNet, Inc. - C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe

O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

O23 - Service: SysAid Agent (SysAidAgent) - Ilient Ltd. - C:\Archivos de programa\SysAid\\IliAS.exe

O23 - Service: WIBU-KEY Kernel Driver (WIBUKEY) - WIBU-SYSTEMS AG - C:\WINDOWS\SYSTEM32\DRIVERS\Wibukey.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Eplpdx02 - MK Systems CO., LTD. - C:\WINDOWS\system32\Drivers\EPLPDX02.SYS

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWBS2.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Motorola USB Composite Device Driver (motccgp) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motccgp.sys

O23 - Service: MotCcgpFlService (motccgpfl) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motccgpfl.sys

O23 - Service: Motorola Inc. USB Device (MotDev) - Motorola Inc - C:\WINDOWS\SYSTEM32\DRIVERS\motodrv.sys

O23 - Service: Motorola USB CDC ACM Driver (motmodem) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motmodem.sys

O23 - Service: MotoSwitch Service (MotoSwitchService) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motswch.sys

O23 - Service: Motorola USB Diagnostic Port (motport) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motport.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Creative SB Live! Series (WDM) (P16X) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\P16X.sys

O23 - Service: PalmUSBD - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\PalmUSBD.sys (file missing)

O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

O23 - Service: PER Disk I/O - Driver (PERIOEX) - Unknown owner - C:\WINDOWS\system32\Drivers\PERIOEX.SYS

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SMC EZ Card 10/100/1000(SMC9452TX-1 ) XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SafeNet USB SuperPro/UltraPro/HardwareKey (SNTNLUSB) - SafeNet, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SNTNLUSB.SYS

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



53 Servicios.

21 de Carga Automatica.

31 de Carga Manual.

1 Deshabilitados.

[julibaga]

Te falta pasarle el [b][url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url][/b]. Lo ejecutas y cuando termine abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados.

[msc hotline sat]

Como que al principio ya posteas los resultados del ELISTARA y del ELITRIIP y veiamos que se regeneraban las claves maliciosas del HOSTS, primero añade .VIR a los ficheros sospechoso que indicamos a continuación, luego reinicia y pasa de nuevo el ELISTARA indicando limpiar el HOSTS, reinicia de nuevo y vuelve a lanzar el ELISTARA, asi veremos si en el ultimo informe aparecen de nuevo dichas lineas o ya no se regeneran:







Ahí parece que tienes los posibles culpables:



C:\Archivos de programa\Zynga\tbZyn1.dll



C:\WINDOWS\system32\xmlwin.exe





Añade .VIR a su extension para que no se carguen tras reiniciar y envianoslos para analizar y controlar:





y elimina estas claves:



O16 - DPF: {15589FA1-C456-11CE-BF01-00AA0055595A} - http://w4s2.work4sure.com/c/ge/w4sgeen10.exe



O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



O20 - Winlogon Notify: NAVLOGON - (no file)





>[b]ENVIO DE MUESTRAS Y ELIMINACION DE



CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en



nuestras utilidades, de lo cual informaremos



saludos



ms, 6-2-2010

[arqrafaelgarcia]

Esto es mi ultimo reporte. Ojala sirva.



Gracias.



---------------

(8-2-2010 16:20:44 (GMT))

EliStartPage v20.24 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancomer.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancomer.com

Linea Eliminada del HOSTS --> 0.0.0.0 bancomer.com

Linea Eliminada del HOSTS --> 0.0.0.0 bancomer.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 bancanetempresarial.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 boveda.banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancanetempresarial.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.boveda.banamex.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-2-2010 16:21:07 (GMT))

EliStartPage v20.24 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 856

Nº Total de Ficheros: 4139

Nº de Ficheros Analizados: 829

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(8-2-2010 16:42:52 (GMT))

EliStartPage v20.24 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancomer.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancomer.com

Linea Eliminada del HOSTS --> 0.0.0.0 bancomer.com

Linea Eliminada del HOSTS --> 0.0.0.0 bancomer.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 bancanetempresarial.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 boveda.banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancanetempresarial.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.boveda.banamex.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-2-2010 16:43:00 (GMT))

EliStartPage v20.24 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13518

Nº Total de Ficheros: 106281

Nº de Ficheros Analizados: 20913

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-2-2010 17:08:52) (GMT)

EliTriIP v6.46 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancomer.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancomer.com

Linea Eliminada del HOSTS --> 0.0.0.0 bancomer.com

Linea Eliminada del HOSTS --> 0.0.0.0 bancomer.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 bancanetempresarial.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 boveda.banamex.com

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.bancanetempresarial.banamex.com.mx

Linea Eliminada del HOSTS --> 0.0.0.0 http://www.boveda.banamex.com



(8-2-2010 17:08:55) (GMT)

EliTriIP v6.46 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13520

Nº Total de Ficheros: 106370

Nº de Ficheros Analizados: 18561

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Decíamos:


[quote]Ahí parece que tienes los posibles culpables:



C:\Archivos de programa\Zynga\tbZyn1.dll



C:\WINDOWS\system32\xmlwin.exe





Añade .VIR a su extension para que no se carguen tras reiniciar y envianoslos para analizar y controlar:[/quote]



No nos consta haberlos recibido...



y sigues regenerando claves, pero es que si te decimos que nos parece que en estos ficheros puede estar el problema y que nos los envies, y no lo haces... pues tu mismo !



saludos



ms, 8-2-2010





Recuerda:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos. ms.