PROBLEMA CON CARPETA C:\Users\USERNAME\AppData\Local\Temp

[felna]

HOLA A TODOS.



TENGO UN PORTATIL X300 LENOVO Y NO TENGO MUCHA CAPACIDAD DE DISCO Y TODOS LOS DÍAS LA CARPETA C:\Users\USERNAME\AppData\Local\Temp AUMENTA EN TAMAÑO NOTABLEMENTE...tengo un antivirus Symantec Endpoint Protection version 11 y todos los días me genera la alerta de Riesgo de Trojan Horse y como 500 files en la carpeta C:\Users\USERNAME\AppData\Local\Temp que aparecen constantemente.



ANEXO ALERTAS DE SYMANTEC



En resumen tengo dos problemas.

1) los files que pienso son trojans horse como dice Symantec en la carpeta C:\Users\USERNAME\AppData\Local\Temp

2) el espacio de disco reducido con que herramienta puedo borrar lo innecesario, ya que mi usuario apenas tiene 3GB consumidos.



no sé si ambos problemas son por la misma causa.



Gracias por el apoyo...estoy desesperado!!!



F.

[msc hotline sat]

Parece que su antivirus ya lo controla y lo pone en cuarentena, pero evidentemente no es suficiente si en cada reinicio vuelve a pasarle...



De entrada pruebe con el ELISTARA, a ver si detecta algo:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si no detecta nada ni pide envio de muestras para analizar, posteenos el log que genera el SPROCES:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 11-5-2010

RVENCA

[felna]

Descargué ambas herramientas y la instale en un externar hard drive, ya que como te dije no tenia más espacio en disco.



La primera InfoSat la puse a correr en el disco C y luego en la carpeta con el problema, me dijo que detecto un troyano y que debía reiniciar para terminar la limpieza, lo hice y me salió otra vez el mensaje de symantec de trojan horse que les mencioné en mensaje anterior. Generó lo siguiente:

(11-5-2010 16:56:48 (GMT))

EliStartPage v20.92 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

P:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX --> Acceso Denegado.

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(11-5-2010 17:00:28 (GMT))

EliStartPage v20.92 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

P:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX --> Acceso Denegado.

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(11-5-2010 17:51:36 (GMT))

EliStartPage v20.92 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 78294

Nº Total de Ficheros: 336229

Nº de Ficheros Analizados: 49248

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(11-5-2010 17:55:44 (GMT))

EliStartPage v20.92 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

P:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX --> Acceso Denegado.

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(11-5-2010 17:59:04 (GMT))

EliStartPage v20.92 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Users"



Nº Total de Directorios: 31400

Nº Total de Ficheros: 108032

Nº de Ficheros Analizados: 1757

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0









Luego ejecuté Sproclog y generó lo siguiente:





(11-5-2010 18:05:31 GMT)

SProces v4.5 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows Vista (TM) Business (v6.0.6002)

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.6002.18005) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\TASKENG.EXE

C:\WINDOWS\SYSTEM32\DWM.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CONIME.EXE

C:\PROGRAM FILES\SYMANTEC\SYMANTEC ENDPOINT PROTECTION\SMCGUI.EXE

C:\PROGRAM FILES\DISKEEPER CORPORATION\DISKEEPER\DKICON.EXE

C:\PROGRAM FILES\WINDOWS LIVE\TOOLBAR\WLTUSER.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

E:\ANTIVIRUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: ::1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Aplicación auxiliar de inicio de sesión de Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: IePasswordManagerHelper Class - {BF468356-BB7E-42D7-9F15-4F3B9BCFCED2} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: (no name) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - (no file)

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O4 - HKLM\..\RunOnce: [ReEXEc] E:\ANTIVIRUS\EliStarA.exe

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Anexar destino de vínculo a PDF existente - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NLAAPI.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NAPINSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\PNRPNSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\PNRPNSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\BONJOUR\MDNSNSP.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{235A5E2D-D45F-4A9F-9443-79EAF983CB33}: NameServer = 192.168.10.100,192.168.10.1

O18 - Protocol hijack: about - (no CLSID) - (no file)

O18 - Protocol hijack: dvd - (no CLSID) - (no file)

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol hijack: its - (no CLSID) - (no file)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol hijack: mhtml - (no CLSID) - (no file)

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol hijack: ms-its - (no CLSID) - (no file)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol hijack: tv - (no CLSID) - (no file)

O18 - Protocol hijack: vbscript - (no CLSID) - (no file)

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O20 - AppInit_DLLs: acaptuser32.dll

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: PSFUS - C:\WINDOWS\SYSTEM32\PSQLPWD.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe

O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\WINDOWS\system32\AEADISRV.EXE

O23 - Service: Alps Application Launcher Service (ApRunSvc) - Unknown owner - C:\Program Files\Apoint2K\ApRunSvc.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

**O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

**O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: Búsqueda de texto de SQL Server (MSSQLSERVER) (msftesql) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe" -s:MSSQL.1 - (file missing)

O23 - Service: SQL Server Analysis Services (MSSQLSERVER) (MSSQLServerOLAPService) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe" -s "C:\Program Files\Microsoft SQL Server\MSSQL.2\O (file missing)

O23 - Service: Power Manager DBC Service - Lenovo - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe

*O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe

O23 - Service: SMI Helper Driver (smihlp2) (smihlp2) - UPEK Inc. - C:\Program Files\Common Files\ThinkVantage Fingerprint Software\Drivers\smihlp.sys

O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Program Files\Lenovo\System Update\SUService.exe

**O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe

O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe

O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\SYSTEM32\TPHDEXLG.exe

O23 - Service: En pantalla (TPHKSVC) - Lenovo Group Limited - C:\Program Files\LENOVO\HOTKEY\TPHKSVC.exe

O23 - Service: TSS Core Service (TSSCoreService) - Lenovo - C:\Program Files\Lenovo\Client Security Solution\tvttcsd.exe

O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe

O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe

O23 - Service: tvtfilter - Lenovo - C:\WINDOWS\SYSTEM32\DRIVERS\tvtfilter.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Integrated Camera (5U875UVC) - Ricoh co.,Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\RCUVCMNP.sys

O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys

O23 - Service: Alps Pointing-device Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltlo.sys

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltup.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbser.sys

O23 - Service: Dispositivo de audio Bluetooth (btwaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btwaudio.sys

O23 - Service: Bluetooth AVDT (btwavdt) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btwavdt.sys

O23 - Service: Bluetooth L2CAP Service (btwl2cap) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwl2cap.sys

O23 - Service: btwrchid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwrchid.sys

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1e6032.sys

O23 - Service: Intel(R) PRO/1000 NDIS 6 Adapter Driver (E1G60) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\E1G60I32.sys

O23 - Service: EraserUtilRebootDrv - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Option210 USB Device for Legacy Serial Communication (gtstusbser) - Option N.V. - C:\WINDOWS\SYSTEM32\DRIVERS\gtstusbser.sys

O23 - Service: IBMPMDRV - Lenovo. - C:\WINDOWS\SYSTEM32\DRIVERS\ibmpmdrv.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: igfx - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd32.sys

O23 - Service: IP in IP Tunnel Driver (IpInIp) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipinip.sys (file missing)

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\WINDOWS\system32\msiexec /V (file missing)

O23 - Service: NAVENG - Symantec Corporation - C:\PROGRA~2\Symantec\DEFINI~1\VIRUSD~1\20100510.022\NAVENG.SYS

O23 - Service: NAVEX15 - Symantec Corporation - C:\PROGRA~2\Symantec\DEFINI~1\VIRUSD~1\20100510.022\NAVEX15.SYS

O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link para Windows Vista de 32 bits (NETw4v32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw4v32.sys

O23 - Service: Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit (NETw5v32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw5v32.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: IPX Traffic Filter Driver (NwlnkFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkflt.sys (file missing)

O23 - Service: IPX Traffic Forwarder Driver (NwlnkFwd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkfwd.sys (file missing)

O23 - Service: Lenovo Parties Service Access Device Driver (psadd) - Lenovo (United States) Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\psadd.sys

O23 - Service: Smartphone BlackBerry (RimUsb) - Research In Motion Limited - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys

O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys

O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE

O23 - Service: SRTSPL - Symantec Corporation - C:\WINDOWS\SYSTEM32\Drivers\SRTSPL.SYS

O23 - Service: SymEvent - Symantec Corporation - C:\Windows\system32\Drivers\SYMEVENT.SYS

O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

O23 - Service: TC USB Kernel Driver (TcUsb) - UPEK Inc. - C:\WINDOWS\SYSTEM32\Drivers\tcusb.sys

O23 - Service: Lenovo SM bus driver (TVTI2C) - Lenovo (United States) Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\Tvti2c.sys

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: UsbserFilt - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: WD SCSI Pass Thru driver (WDC_SAM) - Western Digital Technologies - C:\WINDOWS\SYSTEM32\DRIVERS\wdcsam.sys

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adp94xx.sys

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpahci.sys

O23 - Service: adpu160m - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu160m.sys

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu320.sys

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\djsvs.sys

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arc.sys

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arcsas.sys

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserid.sys

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserwdm.sys

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbmdm.sys

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\drivers\elxstor.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HpCISSs - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\hpcisss.sys

O23 - Service: Intel RAID Controller Vista (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iastorv.sys

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\drivers\iirsp.sys

O23 - Service: ITEATAPI_Service_Install (iteatapi) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteatapi.sys

O23 - Service: ITERAID_Service_Install (iteraid) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteraid.sys

O23 - Service: LSI_FC - LSI Logic - C:\WINDOWS\system32\drivers\lsi_fc.sys

O23 - Service: LSI_SAS - LSI Logic - C:\WINDOWS\system32\drivers\lsi_sas.sys

O23 - Service: LSI_SCSI - LSI Logic - C:\WINDOWS\system32\drivers\lsi_scsi.sys

O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\drivers\megasas.sys

O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\drivers\megasr.sys

O23 - Service: Mraid35x - LSI Logic Corporation - C:\WINDOWS\system32\drivers\mraid35x.sys

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\drivers\nfrd960.sys

O23 - Service: N-trig HID Tablet Driver (ntrigdigi) - N-trig Innovative Technologies - C:\WINDOWS\system32\drivers\ntrigdigi.sys

O23 - Service: NVIDIA nForce RAID Driver (nvraid) - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

O23 - Service: QLogic Fibre Channel Miniport Driver (ql2300) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql2300.sys

O23 - Service: QLogic iSCSI Miniport Driver (ql40xx) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql40xx.sys

O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe

O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\drivers\sisraid4.sys

O23 - Service: Symc8xx - LSI Logic - C:\WINDOWS\system32\drivers\symc8xx.sys

O23 - Service: Sym_hi - LSI Logic - C:\WINDOWS\system32\drivers\sym_hi.sys

O23 - Service: Sym_u3 - LSI Logic - C:\WINDOWS\system32\drivers\sym_u3.sys

O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe

O23 - Service: TVT Windows Update Monitor (TVT_UpdateMonitor) - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recovery\UpdateMonitor.exe

O23 - Service: uliahci - ULi Electronics Inc. - C:\WINDOWS\system32\drivers\uliahci.sys

O23 - Service: UlSata - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata.sys

O23 - Service: ulsata2 - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata2.sys

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

O23 - Service: vsdatant - Unknown owner - C:\WINDOWS\SYSTEM32\a (file missing)

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\drivers\vsmraid.sys

O23 - Service: WD SmartWare Drive Manager (WDDMService) - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe

O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe



120 Servicios.

27 de Carga Automatica.

43 de Carga Manual.

50 Deshabilitados.





Que opinan?



GRacias por el apoyo.

[felna]

Luego de reiniciar el portátil me señala la alerta de Symantec lo que se expone en el documento anexo.



Saludos y gracias por el apoyo.

[msc hotline sat]

Tienes el Conficker en casa !!!



EliStartPage v20.92 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

P:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX --> Acceso Denegado.



Además, te falta el parche al respecto:



11-5-2010 18:05:31 GMT)

SProces v4.5 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows Vista (TM) Business (v6.0.6002)

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.6002.18005) 0





Pues sigue lo indicado para la eliminación del Conficker :



http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp



Sigue puntualmente las instrucciones que allí se indican, el Conficker es un Rootkit que se propaga por intrusion via IP si no se tiene el parche MS08-067, por comparticiones administrativas si no se tiene password "duro" (alfanumérico con masyúsculas y minúsculas) y por pendrive, si no se tiene instalada la "Vacuna" del ELIPEN en ordenadores y pendrives, para lo cual ya el USB445 ya instala la parte correspondiente en los ordenadores en los que se ejecuta.



Aparte, vemos este fichero sospechoso:



C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll



envianoslo para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 12-5-2010





NOTA: Por cierto, veo al final el informe de Symantec que ya advertía sobre el Downadup, que, al igual que Kido, son alias del Conficker. ms.

[felna]

Hice lo recomendado...



Se mantiene el aviso de Symantec, lo que no supe hacer fue como hacer para instalar el parche o verificar si ya lo tengo con algunas de las actualizaciones.



Gracias por ayuda.



F

[msc hotline sat]

Lanzando un windowsupdate verás si te falta alguna actualizacion o estás al día !



En el caso de que encuentre alguna pendiente de instalar, selecciona Instalacion rápida.



y por último para saber si tienes el Conficker en alguna máquina, puedes probar el COMPROBADOR.EXE , que es muy rápido, ya que el Conficker al ser RootKit engaña mucho de otro modo, pero con el COMPROBADOR, como que aprovecha el payload del Conficker de no dejar acceder a webs de fabricantes antivirus como McAfee o que empiecen poor VIRUS como VirusTotal, es la manera mas rápida de saber si se está infectado:



DESCARGA DEL COMPROBADOR.EXE

http://www.zonavirus.com/descargas/comprobador.asp





Si ves los tres logos en la primera fila es que el ordenador está limpio.



(las demás filas son de explicación)



saludos



ms, 20-5-2010





nota: Y el informe de Symantec sobre \\dc1 se refiere a la detección del Conficker en unidades compartidas, posiblemente en otros ordenadores.



Debe desinfectarlos aisladamente, todos, uno por uno, y solo cuando estén limpios volverlos a conectar entre sí, de lo contrario a traves de comparticiones administrativas, uno infectado, volverá a infectar los demás ! ms.