VIRUS K AFECTA MI CONEXION DE INTERNET

pitlag · Mensaje por **pitlag** » 21 Abr 2010, 05:43

Que tal buen dia, les comento k hace unas semanas mi computadora se vio afectada por un virus en el archivo svchost.exe, lo k presentaba era el uso del 100% del procesador lo k no me permitia hacer nada mas, lo k hice en ese momento fue apagar el wireless y de esa manera el uso del cpu se hacia normal, lo cual me permitio analizar con el antivirus kaspersky el cual encontro los troyanos y los elimino, la cuestion ahora es k desde entonces el uso excesivo del cpu se normalizo aun cuando el wireless esta encendido solo k ahora mi conexion a internet se hizo sumamente lenta, de hecho desde k la computadora enciende la conexion a internet siempre registra un uso de la misma aun y cuando ningun programa de los k usan internet este en funcionamiento, es decir, mi conexion siempre esta enviando y recibiendo datos. Mi pregunta es si este problema sera lo k kedo de los troyanos, se podra eliminar o revisar con exactitud cual es el problema???? De antemano gracias!

Mensaje por **msc hotline sat** » 21 Abr 2010, 06:00

Hay gran cantidad de troyanos que lo pueden causar, pruebe el ELISTARA y posteenos el informe resultante:

[quote="para DESCARGAR el ELISTARA, msc"]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

A la vista del mismo, procederemos en consecuencia.

saludos

ms, 21-4-2010

RMXTOR

pitlag · Mensaje por **pitlag** » 22 Abr 2010, 05:21

que tal, gracias por resonder, he probado el programa k me recomendaste y el resultado del analisis es el siguiente:

(22-4-2010 02:24:45 (GMT))

EliStartPage v20.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Efrain\Application Data\AVDRN.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(22-4-2010 02:43:15 (GMT))

EliStartPage v20.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Efrain\Start Menu\Programs\Startup\POWERREG SCHEDULERV2.EXE --> Eliminado, PowerReg

Nº Total de Directorios: 7499

Nº Total de Ficheros: 84529

Nº de Ficheros Analizados: 22407

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

este fue el resultado en el archivo k se creo, gracias por seguirme ayudando!

Mensaje por **msc hotline sat** » 22 Abr 2010, 06:12

Pues vemos que tenías un resto del AVMO (Online games) que ya hemos eliminado:

EliStartPage v20.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Efrain\Application Data\AVDRN.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

No detectado SP3 de Windows XP

y ademas que te faltan muchos parches !!! -> Lanza un windowsupdate e instala los que te falten

Si tras reiniciar persiste alguna anomalia, posteanos log del SPROCES:

[quote="msc"]
~~[b]~~SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.

saludos

ms, 22-4-2010

pitlag · Mensaje por **pitlag** » 28 Abr 2010, 04:27

que tal amigo! gracias por tu respuesta, ya aplique el windows update y se actualizaron algunos componentes entre ellos el sp3 de win xp, y el problema siguio solo k ahora en menor proporcion porque las paginas cargan un poco mas rapidos y mi ancho de banda se usa menos aunque sigue siendo visible en el icono de la conexion k esta siendo usado. Te cuento k corri el programa k me indicaste y el resultado fue el siguiente:

(28-4-2010 02:10:26 GMT)

SProces v4.5 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: VAZQUEZ

Nombre Usuario: Efrain

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 2009\AVP.EXE

C:\PROGRA~1\ROCKWE~1\RSCOMMON\RSOBSERV.EXE

C:\PROGRAM FILES\COMMON FILES\LIGHTSCRIBE\LSSRVC.EXE

C:\PROGRAM FILES\COMMON FILES\OPC FOUNDATION\OPCENUM.EXE

C:\PROGRAM FILES\COMMON FILES\ROCKWELL\RNADIAGNOSTICSSRV.EXE

C:\PROGRA~1\ROCKWE~1\RSLINX\RSLINX.EXE

C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\PROGRAM FILES\JAVA\JRE1.5.0_11\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\HPQ\HP WIRELESS ASSISTANT\HP WIRELESS ASSISTANT.EXE

C:\PROGRAM FILES\ITUNES\ITUNESHELPER.EXE

C:\PROGRAM FILES\QUICKTIME\QTTASK.EXE

C:\PROGRAM FILES\HPQ\QUICK LAUNCH BUTTONS\EABSERVR.EXE

C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 2009\AVP.EXE

C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\PROGRAM FILES\IPOD\BIN\IPODSERVICE.EXE

C:\PROGRAM FILES\HPQ\SHARED\HPQWMI.EXE

C:\DOCUMENTS AND SETTINGS\EFRAIN\DESKTOP\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.com.mx

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Taskman=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - Startup: QuickShelf.lnk = C:\Program Files\Referencia Microsoft\BookshelfE\QS96E.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Estadísticas de protección del tráfico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.5.0_05) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E6BB2089-163F-466B-812A-748096614DFD} (CAScanner Control) - http://cainternetsecurity.net/scanner/cascanner.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/3,0,0,5957/mcfscan.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe

O23 - Service: BCMNTIO - Unknown owner - C:\PROGRA~1\CheckIt\DIAGNO~1\BCMNTIO.sys

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MAPMEM - Unknown owner - C:\PROGRA~1\CheckIt\DIAGNO~1\MAPMEM.sys

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: OPCEnum - Unknown owner - C:\Program Files\Common Files\OPC Foundation\OPCENUM.EXE

O23 - Service: FactoryTalk Diagnostics Local Reader (RNADiagnosticsService) - Rockwell Software - C:\Program Files\Common Files\Rockwell\RNADiagnosticsSrv.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: RSLinx - Rockwell Software, Inc. - C:\PROGRA~1\ROCKWE~1\RSLINX\RSLINX.EXE

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Rockwell Software 1784-KTC(X) Driver (ABKTCX) - Rockwell Software Inc. - C:\WINDOWS\System32\Drivers\ABKTCX.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Broadcom 802.11 Network Adapter Driver (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys

O23 - Service: Conexant AMC Audio (CAMCAUD) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6aud.sys

O23 - Service: CAMCHALA - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6hal.sys

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: dnWhoDisp - Unknown owner - C:\Program Files\Rockwell Software\RSLINX\dnwhodisp.exe

O23 - Service: eabusb - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\system32\drivers\eabusb.sys

O23 - Service: USB Serial Converter Driver (FTDIBUS) - FTDI Ltd. - C:\WINDOWS\SYSTEM32\drivers\ftdibus.sys

O23 - Service: USB Serial Port Driver (FTSER2K) - FTDI Ltd. - C:\WINDOWS\SYSTEM32\drivers\ftser2k.sys

O23 - Service: GEAR CDRom Filter (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Harmony - Rockwell Software Inc. - C:\PROGRA~1\ROCKWE~1\RSCOMMON\RSOBSERV.EXE

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: HSFHWATI - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWATI.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: RsiKtControl - Rockwell Software, Inc. - C:\WINDOWS\system32\RSIKT.SYS

O23 - Service: RSLinx Serial Driver (RSSERIAL) - Rockwell Software Inc. - C:\WINDOWS\SYSTEM32\RSSERIAL.SYS

O23 - Service: RSLinx S-S SD/SD2 Device Driver (RS_SS_NT) - Rockwell Software, Inc. - C:\WINDOWS\SYSTEM32\RS_SS_NT.SYS

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SMC IrCC Miniport Device Driver (SMCIRDA) - SMC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: Sony USB Filter Driver (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

44 Servicios.

12 de Carga Automatica.

29 de Carga Manual.

3 Deshabilitados.

como te contaba el problema originalmente era k el archivo svchost.exe ocupaba el 100% de mi procesador!

de antemano gracias y espero puedas seguirme ayudando, gracias!

Mensaje por **msc hotline sat** » 28 Abr 2010, 04:57

Pues vemos este fichero sospechoso:

C:\Program Files\Referencia Microsoft\BookshelfE\QS96E.EXE

envianoslo para analizar

y además vemos referencias al taskman, por si acaso prueba el ELIPALEVO.EXE:

~~[b]~~ ELIPALEVO.EXE: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp

Y vacuna tus ordenadores y pendrives con el ELIPEN, ya que tanto el Onlinegames como los Palevo se propagan por dicho medio, aparte de otros trpecientos miles, claro, pero los que te digo parece que te están rondando :) !

~~[b]~~ ELIPEN.EXE: [/b]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y para enviarnos el fichero que te pedimos para analizar (el QS96E.EXE), recuerda:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 28-4-2010

pitlag · Mensaje por **pitlag** » 03 May 2010, 05:55

Que tal buen dia! gracias por la ayuda! te cuento k realize lo k me indicaste y lamentablemente el problema persiste, mi conexion siempre indica k esta en uso y las paginas por lo mismo a veces no cargan o tardan bastante, de hecho el messenger no se conecta al primer intento, siempre marca error, hasta k lo hago por segunda vez entonces ya funciona.

te mande el archivo k me indicaste, vacune con el elipen y ahora te posteo el contenido del archivo infosat

(22-4-2010 02:24:45 (GMT))

EliStartPage v20.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Efrain\Application Data\AVDRN.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(22-4-2010 02:43:15 (GMT))

EliStartPage v20.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Efrain\Start Menu\Programs\Startup\POWERREG SCHEDULERV2.EXE --> Eliminado, PowerReg

Nº Total de Directorios: 7499

Nº Total de Ficheros: 84529

Nº de Ficheros Analizados: 22407

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

(29-4-2010 02:40:24 (GMT))

EliPalevo v1.48 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(29-4-2010 02:48:08 (GMT))

EliPalevo v1.48 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 7729

Nº Total de Ficheros: 93390

Nº de Ficheros Analizados: 6328

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(30-4-2010 02:32:18 (GMT))

EliStartPage v20.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(30-4-2010 02:54:09 (GMT))

EliStartPage v20.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 7726

Nº Total de Ficheros: 93106

Nº de Ficheros Analizados: 26515

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(30-4-2010 03:13:03)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad E:\ Protegida

Unidad E:\ YA esta Protegida

Unidad C:\ Protegida

espero puedas seguir ayudandome porque es desesperante k mi navegacion no sea fluida, GRACIAS!

Mensaje por **msc hotline sat** » 03 May 2010, 06:16

La pista de la clave F2 - REG:system.ini: Taskman= apuntaba hacia un Palevo, y si el ELIPALEVO no lo detecta quizas se trata de una nueva variante no controlada ...

En cuanto recibamos la muestra indicada, la analizaremos e informaremos

Mientras, podría probar añadir .VIR a su extension, total si no es malicioso, luego le quita la extension y punto. Si lo hace, reinicie y comnetenos el resultado, gracias

saludos

ms, 3-5-2010

Mensaje por **msc hotline sat** » 03 May 2010, 12:25

Recibida la muestra no se detectan rutinas víricas, pero no lo conocemos ni sabemos si tras añadir .VIR a su extension, se ha solucionado el problema o sigue igual.

Informenos al respecto, gracias

saludos

ms, 3-5-2010

pitlag · Mensaje por **pitlag** » 04 May 2010, 05:20

Que tal buen dia! gracias por seguir ayudandome, tengo unas preguntas, a que archivo deseas k le cambie la extension, al k envie para analizar? te cuento k ese archivo es del diccionario bookshelf de microsoft y siempre arranca al inicio de la compu! si es asi, hago el cambio de la extension y te aviso! Gracias!

Mensaje por **msc hotline sat** » 04 May 2010, 05:49

Sí, añade .VIR al QS96E.EXE y si tras reiniciar ves que no persiste la anomalía, entonces elimina el link de la carga del QuickShelf.lnk en el inicio, y asi te olvidas del problema.

No vemos nada mas, y si con esto no se soluciona, puedes probar si arrancando en MODO SEGURO CON FUNCIONES DE RED te pasa lo mismo, para saber si es del sistema, en cuyo caso podrías lanzar una REPARACION DE WINDOWS, o de aplicaciones, en cuyo caso convendría probar de reducir la carga de aplicaciones en el inicio o reinstalar las mismas hasta que se solucione.

Cuentanos el resultado, y te orientaremos en consecuencia.

saludos

ms, 4-5-2010

pitlag · Mensaje por **pitlag** » 09 May 2010, 03:41

que tal buen dia! te cuento k mi antivirus empezo a detectar un archivo y me indicaba k actuaba como keylogeer aunque en ningun momento lo desinfectaba o le hacia algo para eliminarlo, entonces oopte por usar el sproces ya k me habia dado cuenta k se pueden detener los procesos desde ahi, por lo que detuve el proceso del archivo y mi conexion en ese instante registro menos trafico, te cuento k la mejoria mas notoria la note el dia de hoy k encendi mi computadora y pude notar k practicamente el problema habia desaparecido, solo k en ocasiones parece k el problema persiste, pero en general cuando las paginas cargan lo hacen de manera instantanea. te anexo el archivo para k lo examinen y mi pregunta es k pasa con el archivo ya k esta detenido con el sproces? se puede desinfectar? k procede para eliminar por completo el problema?? de antemano gracias!! el archivo esta ubicado en mi computadora en una carpeta en program files llamada ATI Technologies!!!

Mensaje por **msc hotline sat** » 09 May 2010, 18:23

Pues recuerda que las muestras para analizar deben enviarse segun indicamos en :

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 9-5-2010

Mensaje por **msc hotline sat** » 14 May 2010, 11:02

Recibido el fichero muestra, resulta ser un driver de ATI en el que no se detectan rutinas sospechosas.

De todas formas si tiene otra aplicación que colisione con él y le va mejor su ordenador sin utilizarlo, aun sin detectarse virus, siga así...

Pero por si hubiera algo mas, como lo indicado ayer en http://www.zonavirus.com/noticias/2010/nueva-version-de-sproces-46-que-visualiza-ficheros-susceptibles-de-tener-rootkit-bubnix.asp

descargue la nueva version del SPROCES 4.6 Y POSTEENOS EL INFORME RESULTANTE:

~~[b]~~SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar

saludos

ms, 14-5-2010

pitlag · Mensaje por **pitlag** » 18 May 2010, 06:02

(18-5-2010 03:57:29 GMT)

SProces v4.6 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: VAZQUEZ

Nombre Usuario: Efrain Vazquez

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 2009\AVP.EXE

C:\PROGRA~1\ROCKWE~1\RSCOMMON\RSOBSERV.EXE

C:\PROGRAM FILES\COMMON FILES\LIGHTSCRIBE\LSSRVC.EXE

C:\PROGRAM FILES\COMMON FILES\OPC FOUNDATION\OPCENUM.EXE

C:\PROGRAM FILES\COMMON FILES\ROCKWELL\RNADIAGNOSTICSSRV.EXE

C:\PROGRA~1\ROCKWE~1\RSLINX\RSLINX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\PROGRAM FILES\JAVA\JRE1.5.0_11\BIN\JUSCHED.EXE

C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\PROGRAM FILES\HPQ\HP WIRELESS ASSISTANT\HP WIRELESS ASSISTANT.EXE

C:\PROGRAM FILES\ITUNES\ITUNESHELPER.EXE

C:\PROGRAM FILES\QUICKTIME\QTTASK.EXE

C:\PROGRAM FILES\HPQ\QUICK LAUNCH BUTTONS\EABSERVR.EXE

C:\PROGRAM FILES\IPOD\BIN\IPODSERVICE.EXE

C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 2009\AVP.EXE

C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\PROGRAM FILES\HPQ\SHARED\HPQWMI.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\PROGRAM FILES\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\EFRAIN VAZQUEZ\DESKTOP\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.com.mx

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Taskman=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - Startup: QuickShelf.lnk = C:\Program Files\Referencia Microsoft\BookshelfE\QS96E.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Estadísticas de protección del tráfico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.5.0_05) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E6BB2089-163F-466B-812A-748096614DFD} (CAScanner Control) - http://cainternetsecurity.net/scanner/cascanner.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/3,0,0,5957/mcfscan.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 799744 bytes) ()

WinSys\Drivers\fvexq.sys (de 838144 bytes) ()

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) ()

WinSys\Drivers\HSF_CNXT.sys (de 718464 bytes) ()

WinSys\Drivers\ntfs.sys (de 574976 bytes) ()

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe

O23 - Service: BCMNTIO - Unknown owner - C:\PROGRA~1\CheckIt\DIAGNO~1\BCMNTIO.sys

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MAPMEM - Unknown owner - C:\PROGRA~1\CheckIt\DIAGNO~1\MAPMEM.sys

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: OPCEnum - Unknown owner - C:\Program Files\Common Files\OPC Foundation\OPCENUM.EXE

O23 - Service: FactoryTalk Diagnostics Local Reader (RNADiagnosticsService) - Rockwell Software - C:\Program Files\Common Files\Rockwell\RNADiagnosticsSrv.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: RSLinx - Rockwell Software, Inc. - C:\PROGRA~1\ROCKWE~1\RSLINX\RSLINX.EXE

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Rockwell Software 1784-KTC(X) Driver (ABKTCX) - Rockwell Software Inc. - C:\WINDOWS\System32\Drivers\ABKTCX.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Broadcom 802.11 Network Adapter Driver (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys

O23 - Service: Conexant AMC Audio (CAMCAUD) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6aud.sys

O23 - Service: CAMCHALA - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6hal.sys

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: dnWhoDisp - Unknown owner - C:\Program Files\Rockwell Software\RSLINX\dnwhodisp.exe

O23 - Service: eabusb - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\system32\drivers\eabusb.sys

O23 - Service: USB Serial Converter Driver (FTDIBUS) - FTDI Ltd. - C:\WINDOWS\SYSTEM32\drivers\ftdibus.sys

O23 - Service: USB Serial Port Driver (FTSER2K) - FTDI Ltd. - C:\WINDOWS\SYSTEM32\drivers\ftser2k.sys

O23 - Service: GEAR CDRom Filter (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Harmony - Rockwell Software Inc. - C:\PROGRA~1\ROCKWE~1\RSCOMMON\RSOBSERV.EXE

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: HSFHWATI - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWATI.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: RsiKtControl - Rockwell Software, Inc. - C:\WINDOWS\system32\RSIKT.SYS

O23 - Service: RSLinx Serial Driver (RSSERIAL) - Rockwell Software Inc. - C:\WINDOWS\SYSTEM32\RSSERIAL.SYS

O23 - Service: RSLinx S-S SD/SD2 Device Driver (RS_SS_NT) - Rockwell Software, Inc. - C:\WINDOWS\SYSTEM32\RS_SS_NT.SYS

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SMC IrCC Miniport Device Driver (SMCIRDA) - SMC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: Sony USB Filter Driver (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

44 Servicios.

12 de Carga Automatica.

29 de Carga Manual.

3 Deshabilitados.

es lo arrojado por el archivo del sproces, les comento k el problema sigue solo en menor proporcion, esero puedan seguir ayudandome, gracias!!

Mensaje por **msc hotline sat** » 18 May 2010, 06:27

Pues ya queda poca cosa, puedes eliminar este resto de clave:

O2 - REG:system.ini: Taskman=

Y como ya habiamos indicado, en el inicio (---\menú inicio\programas\inicio\) hay este link sospechoso:

QuickShelf.lnk = C:\Program Files\Referencia Microsoft\BookshelfE\QS96E.EXE

envianos este fichero QS96E.EXE para analizar

y envianos tambien este otro que podría tratarse de un BUBNIX (peligroso Rootkit):

C:\windows\system32\drivers\fvexq.sys

Tan pronto como los recibamos,m los analizaremos e informaremos

saludos

ms, 18-5-2010

pitlag · Mensaje por **pitlag** » 19 May 2010, 05:24

que tal buen dia! gracias por la ayuda.

tengo unas preguntas, deseo saber como eliminar esta clave k me marcas O2 - REG:system.ini: Taskman=??,

el link QuickShelf.lnk = C:\Program Files\Referencia Microsoft\BookshelfE\QS96E.EXE , lo elimino o como lo pongo fuera del inicio??

y tengo dos comentarios k hacerte, el archivo QS96E.EXE ya te lo habia enviado y me habias comentado k no contenia ninguna cadena virica, el segundo comentario es k el archivo C:\windows\system32\drivers\fvexq.sys, no pude comprimirlo ni copiarlo para enviartelo porque me marca un error al hacerlo, no se si esto sea por la ubicacion en la k esta y no me lo permita el sistema, si me pudieras indicar como poder enviartelo me gustaria me lo dijeras y te lo envio.

Gracias por la ayuda!!

Mensaje por **msc hotline sat** » 19 May 2010, 05:46

Pues sobre el QS96E.EXE, si sabes lo que es y es voluntario, olvidalo, y mas si dices que ya habiamos dicho que no tenía rutinas viricas.

El resto de la clave indicada del Taskman puedes buscarla y eliminarla con el BUSCAREG:

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

y vamos a lo que realmente está vivo y coleando y que todo apunta a que es un BUBNIX, que permite que tu máquina sea una zombie del BOtNet en cuestión !!!

Justamente lo que dices de ~~[b]~~[i]"el archivo C:\windows\system32\drivers\fvexq.sys, no pude comprimirlo ni copiarlo para enviartelo porque me marca un error al hacerlo"[/i][/b] confirma nuestras sospechas.

Este malware impide que los antivirus lo detecten al no permitir ser examinado, como tampoco copiado, renombrado y menos borrado, mientras está en uso, y es por ello que ya avisamos sobre él en:

https://foros.zonavirus.com/viewtopic.php?f=25&t=31947&hilit=bubnix

Es un RootKit que, entre otras cosas, permite el envio de spam controlado remotamente, sin saberlo el usuario, si bien por su port SMTP25 puede estar enviando miles y miles de mails, lo cual concuerda con el título de este Tema: ~~[b]~~Re: VIRUS K AFECTA MI CONEXION DE INTERNET[/b]

Pues vamos a por él. Efectivamente, no se deja copiar facilmente, ni renombrar como queremos, si bien tras hacerlo, ya los antivirus puede que lo detecten y eliminen, por lo cual antes de arrancar normalmente conviene arrancar en MODO SEGURO, para que el antivirus no se cargue, y en dicho modo empaquetar en un ZIP o RAR con password virus dicho fichero, para luego arrancando en modo normal, podernoslo enviar para analizar y controlar.

Conviene seguir los siguientes pasos:

1.- Arrancar con el CD de instalacion de windows

2.- Pulsar R para entrar en Consola de Recuperacion

3.- Entrar CD\windows\system32\drivers\

4.- Renombrar el fichero en cuestión entrando: REN fvexq.sys fvexq.sys.VIR

5.- Sacar el CD de instalacion y reiniciar pulsando repetidamente F8 y del Menú de Inicio escoger "ARRANCAR EN MODO SEGURO"

6.- Empaquetar el fichero fvexq.sys.VIR en un ZIP o RAR con password virus

7.- Enviarnoslo para analizar a zonavirus@satinfo.es indicando en el asunto tu nick en el foro (pitlag)

8.- Reiniciar normalmente y comprobar que ya no persiste el problema de internet, además de que quizás el antivirus detectará dicho fichero y lo eliminará, comentanos todo lo de este punto.

Ya conocemos bastantes variantes de este RootKit, que mientras está activo no detecta ningun antivirus, y solo con el SPROCES actual lo podemos identificar y proceder en consecuencia, como ya has visto :)

A ver si haces todo lo indicado al pie de la letra y nos puedes enviar el fichero, y recalco "al pie de la letra" porque en algunos casos el usuario ha reiniciado normalmente en lugar de hacerlo en modo seguro, y antes de empaquetarlo con password ya se lo ha comido el antivirus...

En cualquier caso se solucionaría el problema, pero sin que pudiera servirnos para analizarlo y controlarlo en el futuro.

Esperanos tus noticias

saludos

ms, 19-5-2010