es un virus?

[mullormar]

buenas noches aqui en barcelona. quiero consultarle un problema, que hace mucho tiempo afecta a mi pc, pero de antemano gracias. nadie me ha podido solucinarlo en diverso foros de este tema.

quisiera que analizaran atraves de hijackthis el siguiente archivo u otros si lo hubiese, es este msmrzd32 unido a userinit que es un archivo de inicio pero no lo puedo eliminar porque es un basico para inicio como uds saben bien que puedo hacer adjuntare scanner de hijackthis si me lo solicitas saludos. mullormar

[msc hotline sat]

Pues envianos dicho fichero para analizar:



msmrzd32.exe , que posiblemente estará en la carpeta de sistema, c:\windows\system32\





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



Aparte, posteanos log generdo por el SPROCES


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 14-4-2010

[mullormar]

nuevamente me dirijo a ud no encuentro la casilla para enviar las muestras pues me pone en la parte superior del tema y no lo encuentro por favor indiqueme donde gracias mullormar

[msc hotline sat]

Sí, arriba a la derecha de DESCARGAS hay el boton de ENVIO DE MUESTRAS, pero lo puedes enviar manualmente a zonavirus@satinfo.es indicando en el asunto tu nick del foro, o sea "mullormar"



Para que no sea interceptado por ningun servidor de internet, mejor que lo empaquetes en un ZIP o RAR con password virus



saludos



ms, 14-3-2010

[mullormar]

disculpe una vez mas vuelvo a enviar las muestras porque no he puesto el pasword en el compresor.

esperando sus noticias mullormar

[msc hotline sat]

Pues a ver si la recibimos y la podemos analizar. Lo veremos mañana, cuando reentremos al trabajo en SATINFO.



Mientras, dado lo que dices, posteanos con un copiar y pegar el contenido del informe generado por el SPROCES, que quizas te pueda adelantar una solucion provisional:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 14-4-2010

[msc hotline sat]

HAs enviado un log en lugar de postearlo en el foro con un copiar y pegar de su contenido:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Además de que no responde al password que indicamos para las muestras...



saludos



ms, 15-4-2010

[mullormar]

perdone he abierto en la parte superior de la pagina donde pone envio de muestras, me ha salido un formulario con mi nick he puesto el correo electronico que se requeria, he comprimido con winrar las muestras de hijackthis con pasword virus, tal como lo pedia en el manual : como comprimir etc, al principio si que envie log sin comprimir y luego rectifique y lo comprimi etc.

haora si quiere que lo comprima con zip lo hare aunque la contraseña es por cifrado .

un saludo y a la espera de sus noticias gracias de nuevo

[msc hotline sat]

No, lo que te decimos es que no debes enviar por mail ficheros de informes, estos deben ser posteados con un copiar y pegar de su contenido, en el foro, en tu proxima respuesta:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Aparte de que el password que pusiste para empaquetar no era virus...



saludos



ms, 15-4-2010

[mullormar]

estimado señor:

ya he realizdo todo lo que indica el manual para el envio de muestras.

creo haber echo lo correcto.

arriba en la ventanita del formulario he indicado mi nick y el enuciado del tema que hace referencio a mi caso he enviado pr compresion winrrar con pasword virus por favor indiqueme si es correcto y ya me darara su opinion.

nuevamente gracias .saludos mullormar

[lucl]

Deberas esperar hasta el lunes que te lo miren, hasta entonces saludos.

[msc hotline sat]

Si lo que envias es un informe del resultado del HJT, debes postearlo aqui, con un copiar y pegar de dicho informe, ya que el envio de muestras es solo de ficheros sospechosos de tener virus, no informes !!!



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 17-4-2010

[mullormar]

bueno gracias de nLogfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 11:05:48, on 14/04/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\Archivos de programa\SyncroSoft\Pos\H2O\cledx.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Google\Quick Search Box\GoogleQuickSearchBox.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe

C:\Archivos de programa\Pando Networks\Pando\pando.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Xobni\XobniService.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\TrendMicro\HiJackThis\HiJackThis.exe

C:\WINDOWS\system32\Notepad.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msmrzd32.exe,

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Archivos de programa\TechSmith\Snagit 9\SnagitBHO.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\Snagit 9\SnagitIEAddin.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [H2O] C:\Archivos de programa\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Archivos de programa\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\usuario\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\pando.exe" /Minimized

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://download.sopcast.cn/download/SOPCORE.CAB

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5898/mcfscan.cab

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

O23 - Service: XobniService - Xobni Corporation - C:\Archivos de programa\Xobni\XobniService.exe



--

End of file - 9358 bytes

uevo pues bien pues lo posteo aqui

[msc hotline sat]

Pues aunque no es el que te pediamos, ya que el log del SPROCES que es mas exhaustivo que el del HJT (https://foros.zonavirus.com/viewtopic.php?f=13&t=29543), ya se ve en este la carga de un fichero sospechoso:



C:\WINDOWS\system32\msmrzd32.exe



el cual debes enviarnos para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-4-2010









NOTA: Cuidado, no vayas a eliminar la clave que lo lanza:



F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msmrzd32.exe,



ya que lo que procede hacer si, tras analizarla, se ve que es malicioso, es restaurarla a la normalidad, lo cual implementaremos en el ELISTARA que hagamos al efecto, tras monitorizar la muestra.



La eliminacion a la brava de dicha clave, causaría la pérdida de arranque con este usuario, asi que haz exclusivamente lo que te decimos, no obres por tu cuenta ! ms.

[mullormar]

no me habia dado cuenta de link que me reconducia a sproces; ya me lo he bajado quiere que haga un nuevo scaner con el mismo y lo envio o espero el resultado del anterior

muchas gracias por tantas molestias que le estoy causando. mullormar

[msc hotline sat]

De momento ya hemos encontrado algo con el del HJT. Si tras lo indicado no fuera suficiente, ya lo pediríamos de nuevo, gracias



saludos



ms, 18-4-2010

[mullormar]

no se si han recibido el post que he enviado en "envio de muestras" porque al enviar ha desaparecido rapidamente la ventana ha quedado en blanco . ya me dira si es que tengo que repetir la operacion



saludos cordiales mullormar

[msc hotline sat]

No se ha recibido ningun mail con su nick



Por si tuviera problemas con el envio automatico, hagalo manual, anexe el ZIP o RAR con password virus, a un mail dirigido a zonavirus@satinfo.es en el que como ASUNTO ponga su nick del foro, esto es , "mullormar" , gracias



saludos



ms, 19-4-2010

[mullormar]

nuevamente me dirijo a usted . he publicado una respuesta pero no si ha entrado. la repito una vez mas: he enviado las muestras

en la casilla del mismo nombre. al pulsar enviar he obsevado que se ha enviado muy rapidamente dejando la ventana en blaco para cerrar en caso contrrio qu no se ha enviado por favor hagamelo saber.

por otro lado he descargado sprocer .exe me ha salido una ventanita pero no encuentro el log, lo he buscado y me sale una cantidad de archivos con extension que no puedo accede.

saludos cordiales mullormar

[msc hotline sat]

Lea mi anterior post, le decia que no habiamos recibido la muestra y que la enviara de la forma que le deciamos allí.



Por otro lado, tras ejecutar el SPROCES, vera el Botón SALIR, púlselo y vera el log, ábralo con el Bloc de Notas, lo selecciona todo y con un copiar y pegar nos lo postea en su próximo post de respuesta a este Tema, gracias



saludos



ms, 19-4-2010

[mullormar]

vuelvo enviar las muestras porque al parece no la han recibido, con sprocer no aparece la carpeta con el log, por tanto lo envio

con hijackthis. gracias mullormar

[msc hotline sat]

Lee bien !



En el post anterior deciamos:


[quote="msc"]Por otro lado, tras ejecutar el SPROCES, vera el Boton SALIR, púlselo y vera el log, ábralo con el Bloc de Notas, lo selecciona todo y con un copiar y pegar nos lo postea en su próximo post de respuesta a este Tema, gracias[/quote]

Y nada de enviar los informes por mail !!! :

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Esfuerzate un poco, a ver si no tengo que volver a repetirlo ...



saludos



ms, 20-4-2010

[msc hotline sat]

Recibo un privado de ADMIN al respecto de lo que estamos diciendo:


[quote]


Mensaje



Contacto Web | zonavirus.com

________________________________________

Nombre y Apellidos

j. mullor mar

________________________________________

Direccion de E-Mail

j[interceptado]@yahoo.es

________________________________________

Tema a tratar

Comentarios y sugerencias

________________________________________

Consulta

estimados amigos: estoy respondiedo a los temas que he expuesto en el foro virus y llevo unos dias que no aparece mi enuciado, en el tema es un virus. me solicitaron que enviara las muestras asi lo realice pero no he obtenido respuesta. ni se ha publicado las ultimas respuestas.no sea que algun spyware se interponga en ello. muchas y esperando su respuesta le saluda cordialmente mullormar [/quote]



Repito: Debe postear con un copiar y pegar, el contenido de los informes en post de respuesta de este Tema, no enviarlos por correo.



Cuando los vea Vd publicados, tambien los veremos nosotros y podremos contestarle.



saludos



ms, 20-4-2010

[mullormar]

he enviado el log por sprocer esta tarde, al principio el servidor señalaba error, lo he vuelto a enviar y parece ser que esta vez lo ha enviado.esperare un par de dias para que tenga tiempo a revisarlo, suponiendo de haberlo recibido en caso de que no se recibiese ya me lo haran saber.

por supuesto reitero mi agradecimiento. mullormar

[mullormar]

he enviado el log por sprocer esta tarde, al principio el servidor señalaba error, lo he vuelto a enviar y parece ser que esta vez lo ha enviado.esperare un par de dias para que tenga tiempo a revisarlo, suponiendo de haberlo recibido en caso de que no se recibiese ya me lo haran saber.

por supuesto reitero mi agradecimiento. mullormar

[msc hotline sat]

Por favor !!! Es que hablamos en chino ??? No has de enviar informes, sino postearlos con un copiar y pegar en tu proximo post de respuesta a este Tema. [size=150][b]PEGAR SU CONTENIDO EN TU PROXIMA RESPUESTA !!![/b][/size]



Es la última vez que te lo decimos.



Si no copias y pegas el informe en tu proxima respuesta a este Tema, por mi parte lo daré por terminado.

[mullormar]

(20-4-2010 13:19:55 GMT)

SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: F08005835664452

Nombre Usuario: usuario



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS DEFENDER\MSMPENG.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS DEFENDER\MSASCUI.EXE

C:\ARCHIVOS DE PROGRAMA\SYNCROSOFT\POS\H2O\CLEDX.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\QUICK SEARCH BOX\GOOGLEQUICKSEARCHBOX.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB07.EXE

C:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMGUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\PANDO NETWORKS\PANDO\PANDO.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\ARCHIVOS DE PROGRAMA\XOBNI\XOBNISERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\READER\ACRORD32.EXE

C:\ARCHIVOS DE PROGRAMA\REALTEK\AUDIO\INSTALLSHIELD\RTHDCPL.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\ESCRITORIO\DESCARGAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msmrzd32.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\usuario\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\pando.exe" /Minimized

O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "C:\Archivos de programa\Uniblue\RegistryBooster\launcher.exe" delay 20000

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [H2O] C:\Archivos de programa\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Archivos de programa\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://download.sopcast.cn/download/SOPCORE.CAB

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc4.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5898/mcfscan.cab

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %Systemroot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - %systemroot%\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - ShellExecuteHook contra el software malintencionado de Microsoft - C:\ARCHIV~1\WIFD1F~1\MpShHook.dll

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - (no file)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: ATE_PROCMON - Unknown owner - C:\Archivos de programa\Anti Trojan Elite\ATEPMon.sys (file missing)

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: VSC Engine (RVIEG01) - Roland - C:\Archivos de programa\Roland\Virtual Sound Canvas DXi\RVIEg01.sys

O23 - Service: XobniService - Xobni Corporation - C:\Archivos de programa\Xobni\XobniService.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: catchme - Unknown owner - C:\DOCUME~1\usuario\CONFIG~1\Temp\catchme.sys (file missing)

O23 - Service: Team H2O CLEDX service (CLEDX) - Team H2O - C:\WINDOWS\SYSTEM32\DRIVERS\cledx.sys

O23 - Service: cpuz132 - Unknown owner - C:\DOCUME~1\usuario\CONFIG~1\Temp\cpuz132\cpuz132_x32.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: USB EMP Audio Device (emAudio) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\drivers\emAudio.sys

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\system32\drivers\mbam.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: 802.11g Wireless LAN PCI Card Driver (rtl8185) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\rtl8185.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: USB 2821 Device (USB28xxBGA) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\emBDA.sys (file missing)

O23 - Service: USB 28xx OEM Filter (USB28xxOEM) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\emOEM.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



30 Servicios.

10 de Carga Automatica.

19 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Ahí tienes el problema:



F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msmrzd32.exe,



1º Envianos este fichero para analizar : C:\WINDOWS\system32\msmrzd32.exe , para ello empaquetalo en un ZIP o RAR con password virus y lo anexas a un mail dirigido a zonavirus@satinfo.es , indicando en el ASUNTO tu nick en el foro, o sea "mullormar"





2º Te desacrgas la utilidad ELIUSER y luego la ejecutas, para restaurar la clave en cuestión





3º, Te descargas el LSPFIX y lo ejecutas





4º Luego reinicia y cuentanos el resultado mientras esperas que analicemos y pasemos a controlar la muestra enviada, de lo cual informaremos



saludos



ms, 21-4-2010

[mullormar]

muchas gracias lo entendido bien (aunque el chino desgraciadamente no lo entiendo) puedo aislar este archivo por

separado y como? es decir usernit etc. o envio el resultado completo de sprocer. lo que pasa es que carezco de correo outlook.

yo tambien tengo ganas de solucionar este asunto

saludos mullormar

[msc hotline sat]

Solo le pedimos que nos envie este fichero:



C:\WINDOWS\system32\msmrzd32.exe



anexandolo a un e-mail, a través del cliente de correo que quiera, mientras que lo empaquete en un ZIP o RAR con password virus, tal como le hemos indicado.



saludos



ms, 22-4-2010



Y nosotros tampoco entendemos chino, por esto se lo decimos en castellano, pero está costando, mas de lo normal, que nos entienda ...