Otra vez un Virus? (SOLUCIONADO)

geoda · Mensaje por **geoda** » 24 Jun 2010, 02:54

Amigos otra vez yo creo que es un virus las muestras ya los envie por correo lo unico fue que navegue por internet y se lenteo reviso cada 5 dias mis computadoras con las utilidades este es mi informe

(15-6-2010 22:52:50 (GMT))

EliStartPage v21.16 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Junio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(22-6-2010 19:16:58 (GMT))

EliJS.Pegel v1.2 (c)2010 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 6889

Nº Total de Ficheros: 76061

Nº de Ficheros Analizados: 1715

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(23-6-2010 22:01:50 (GMT))

EliPalevo v1.64 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(23-6-2010 22:01:59 (GMT))

EliBagle v13.97 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(23-6-2010 22:02:02 (GMT))

EliTriIP v6.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

[color=#FF0000] (23-6-2010 22:03:35 (GMT))

EliStartPage v21.22 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSAR.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSAR.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSCS.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSCS.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSDA.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSDA.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSDE.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSDE.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSEL.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSEL.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSENG.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSENG.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSES.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSES.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSESM.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSESM.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSFI.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSFI.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSFR.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSFR.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSHE.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSHE.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSHU.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSHU.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSIT.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSIT.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSJA.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSJA.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSKO.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSKO.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSNL.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSNL.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSNO.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSNO.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSPL.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSPL.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSPT.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSPT.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSPTB.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSPTB.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSRU.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSRU.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSSK.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSSK.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSSL.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSSL.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSSV.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSSV.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSTH.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSTH.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSTR.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSTR.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSZHC.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSZHC.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVRSZHT.DLL.Muestra EliStartPage v21.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVRSZHT.DLL --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.[/color]

(23-6-2010 22:05:08 (GMT))

EliJS.Pegel v1.2 (c)2010 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 6946

Nº Total de Ficheros: 77118

Nº de Ficheros Analizados: 1716

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(23-6-2010 22:05:48 (GMT))

EliPalevo v1.64 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 6946

Nº Total de Ficheros: 77118

Nº de Ficheros Analizados: 2370

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(23-6-2010 22:05:59 (GMT))

EliStartPage v21.22 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 6946

Nº Total de Ficheros: 77118

Nº de Ficheros Analizados: 15685

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(23-6-2010 22:05:59 (GMT))

EliTriIP v6.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 6946

Nº Total de Ficheros: 77118

Nº de Ficheros Analizados: 13100

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(23-6-2010 22:05:59 (GMT))

EliBagle v13.97 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 6946

Nº Total de Ficheros: 77118

Nº de Ficheros Analizados: 9689

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(23-6-2010 22:09:35 (GMT))

EliStartPage v21.22 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(23-6-2010 22:12:20 (GMT))

EliStartPage v21.22 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 6946

Nº Total de Ficheros: 77123

Nº de Ficheros Analizados: 15685

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

geoda · Mensaje por **geoda** » 24 Jun 2010, 02:56

(23-6-2010 23:04:10 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: XP Sp3 WarezMaster (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: USUARIO

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\ARCHIVOS DE PROGRAMA\USB SAFELY REMOVE\USBSRSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\IOBIT\IOBIT SECURITY 360\IS360SRV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\POWER TRANSLATOR 14\LOGOMEDIA TRANSLATEDOTNET SERVER.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\UPDATE\NASVC.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\PDF SUITE 2010\CONVERSIONSERVICE.EXE

C:\WINDOWS\INSTALLER\MSIA3.TMP

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESSERVICE32.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD10\PDVD10SERV.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\BRS.EXE

C:\ARCHIVOS DE PROGRAMA\IOBIT\IOBIT SECURITY 360\IS360TRAY.EXE

C:\ARCHIVOS DE PROGRAMA\USB DISK SECURITY\USBGUARD.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\SHARED FILES\WNKSM.EXE

C:\ARCHIVOS DE PROGRAMA\USB SAFELY REMOVE\USBSAFELYREMOVE.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESAPP32.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

F:\INSTALADORES 2010\ANTIVIRUS\MATA_VIRUS_AMVO_USB\SATINFO\SATINFOARREGLO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: PDF Suite Helper - {1AD61D5B-58A3-4592-9B34-DC84688FF805} - C:\Archivos de programa\PDF Suite 2010\PDFIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~3\Office14\GROOVEEX.DLL

O2 - BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~3\Office14\URLREDIR.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: PDF Suite Toolbar - {261F6A8B-7AAF-4BF5-8552-6610F4D67819} - C:\Archivos de programa\PDF Suite 2010\PDFIEPlugin.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator 14\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [estm] C:\shared files\wnksm.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount

O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Archivos de programa\DAEMON Tools Pro\DTAgent.exe" -autorun

O4 - HKCU\..\Run: [USB Safely Remove] C:\Archivos de programa\USB Safely Remove\USBSafelyRemove.exe /startup

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl10] "C:\Archivos de programa\CyberLink\PowerDVD10\PDVD10Serv.exe"

O4 - HKLM\..\Run: [BDRegion] C:\Archivos de programa\Cyberlink\Shared files\brs.exe

O4 - HKLM\..\Run: [IObit Security 360] "C:\Archivos de programa\IObit\IObit Security 360\IS360tray.exe" /autostart

O4 - HKLM\..\Run: [USB Antivirus] C:\Archivos de programa\USB Disk Security\USBGuard.exe

O4 - HKLM\..\Run: [BCSSync] "C:\Archivos de programa\Microsoft Office\Office14\BCSSync.exe" /DelayServices

O8 - Extra context menu item: &Enviar a OneNote - res://C:\ARCHIV~1\MICROS~3\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office14\EXCEL.EXE/3000

O8 - Extra context menu item: Free YouTube Download - C:\Documents and Settings\Administrador\Datos de programa\DVDVideoSoftIEHelpers\youtubedownload.htm

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\Administrador\Datos de programa\DVDVideoSoftIEHelpers\youtubetomp3.htm

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: RAILNOTIFICATION - WINLOGONNOTIFICATION.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\ARCHIV~1\MICROS~3\Office14\GROOVEEX.DLL

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 457216 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 576512 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 697328 bytes) ()

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation

Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: IS360service - IObit - C:\Archivos de programa\IObit\IObit Security 360\IS360srv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator 14\LogoMedia TranslateDotNet Server.exe

O23 - Service: @C:\Archivos de programa\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Archivos de programa\Nero\Update\NASvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDF Suite 2010 Service - Interactive Brands Inc. - C:\Archivos de programa\PDF Suite 2010\ConversionService.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSIA3.tmp

O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

O23 - Service: USB Safely Remove Assistant (USBSafelyRemoveService) - Unknown owner - C:\Archivos de programa\USB Safely Remove\USBSRService.exe

O23 - Service: Power Control [2010/06/15 18:26:56] ({1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}) - CyberLink Corp. - C:\Archivos de programa\CyberLink\PowerDVD10\NavFilter\000.fcl

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

26 Servicios.

13 de Carga Automatica.

12 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 24 Jun 2010, 10:07

Tienes este fichero que puede ser del BUBNIX:

C:\windows\system32\Drivers\sptd.sys (de 697328 bytes)

pues usas XP y el de Daemon para dicho sistema acostumbra a medir un poco mas:

(de 717296 bytes)

Envianoslo para analizar, como ya sabes.

y por otro lado estas muestras que pedía la versión 21.22 del ELISTARA, por si hubiera posible infección del Mariofev, posiblemente son lenguajes para los drivers de la NVIDIA:

Eliminaremos su detección y solicitud de muestras en la próxima versión 21.23

y a la recepción de dicho sptd.sys veremos si se trata de malware o no e informaremos

saludos

ms, 24-6-2010

geoda · Mensaje por **geoda** » 25 Jun 2010, 03:13

Amigo enviado el archivo por correo gracias :roll:

Mensaje por **msc hotline sat** » 25 Jun 2010, 06:23

Si lo has podido enviar tan facilmente, no será el BUBNIX que esperabamos, el cual se resiste a ello, pero en cuanto lo recibamos (hoy cuando entremos a trabajar en SATINFO), lo analizaremos y saldremos de dudas, de lo cual informaremos.

Mientras, dinos mas anomalias, aparte de la lentitud, que hayas notado, si no puedes acceder al Administrador de Tareas, o ha se ha desactivado el antivirus residente, o no puedes arrancar en MODO SEGURO, o no puedes abrir el Registro de sistema con el REGEDIT, en fin, lo que acostumbran hacer los malwares comunes, por si ello nos da pistas...

saludos

ms, 25-6-2010

geoda · Mensaje por **geoda** » 26 Jun 2010, 03:27

[quote="msc hotline sat"]Si lo has podido enviar tan facilmente, no será el BUBNIX que esperabamos, el cual se resiste a ello, pero en cuanto lo recibamos (hoy cuando entremos a trabajar en SATINFO), lo analizaremos y saldremos de dudas, de lo cual informaremos.

Mientras, dinos mas anomalias, aparte de la lentitud, que hayas notado, si no puedes acceder al Administrador de Tareas, o ha se ha desactivado el antivirus residente, o no puedes arrancar en MODO SEGURO, o no puedes abrir el Registro de sistema con el REGEDIT, en fin, lo que acostumbran hacer los malwares comunes, por si ello nos da pistas...

saludos

ms, 25-6-2010[/quote]
Amigo gracias por la ayuda primero me fue muy dificial copiar el archivo lo que hice para copiar es lo siguente use el windows live desde CD que viene en el hirens boot pra poder copiar no se si esta bien lo que hice

otro problema es elsiguente tarda en carga el menu principal al iniciar es decir la pantalla y si usoun programas ejem el elpen tarda e abrir cuando conecto el modem tarda en abrir y cargar otro detalle seria que cuando cierro el windows se pierde un intante y vuelve a la pamntalla inicial vuelvo a poner apagar el sistema como vieron arriba uso el IObit Security 360 como antivirus

Mensaje por **msc hotline sat** » 26 Jun 2010, 08:57

Lo que dices cambia la cosa: "me fue muy dificial copiar el archivo lo que hice para copiar es lo siguente use el windows live desde CD que viene en el hirens boot pra poder copiar no se si esta bien lo que hice" , posiblemente era un BUBNIX, pero no me consta que se recibiera, de las muestras de zonavirus me informan y de esta no hubo noticia, posiblemente no la empaquetaste con un ZIP o RAR con password virus, como indicamos en :

[quote]
~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
[/quote]

Sino, al no estar en uso, los antivirus lo pillan y lo eliminan. Y los servidores de internet lo interceptan. Mira si lo hiciste como decimos, y sino repite el envio como indicamos, gracias

saludos

ms, 26-6-2010

geoda · Mensaje por **geoda** » 27 Jun 2010, 03:00

ora cosa amigo es cuando quero hacer en word el copy paste en mis tareas me sale esto

C:\WINDOWS\hinhem.scr

Renvio muestra del archivo hoy virus@satinfo.es mi correo es https://foros.zonavirus.com/viewtopic.php?f=1&t=17044 y

2 caso es otro problema

otros que me recientemente salieron en mi notebook

EliStartPage v21.24 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Junio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\BLASTCLNNN.EXE.Muestra EliStartPage v21.24

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BLASTCLNNN.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SCVHOST.EXE.Muestra EliStartPage v21.24

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SCVHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SCVHOST.EXE.Muestra EliStartPage v21.24

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SCVHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\HINHEM.SCR.Muestra EliStartPage v21.24

a "virus@satinfo.es". Gracias.

C:\WINDOWS\HINHEM.SCR --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Yahoo Messengger"="C:\WINDOWS\system32\scvhost.exe"

Mensaje por **msc hotline sat** » 27 Jun 2010, 07:10

Pues ya veremos lo del sptd.sys cuando lo recibamos, pero lo que está muy claro es que tenías aparte tres malwares seguros, que te aparcó el ELISTARA en C:\muestras, peo que debes enviarnoslos como hiciste con el otro, para que los podamos analizar y pasar a controlar:

Por favor, envienos una muestra del fichero

C:\Muestras\BLASTCLNNN.EXE.Muestra EliStartPage v21.24

Por favor, envienos una muestra del fichero

C:\Muestras\SCVHOST.EXE.Muestra EliStartPage v21.24

Por favor, envienos una muestra del fichero

C:\Muestras\HINHEM.SCR.Muestra EliStartPage v21.24

Fijarse que la picaresca en estos casos es la de emplear un nombre parecido a ficheros conocidos, pero cambiando alguna letra, por ejemplo SCVHOST en lugar de SVCHOST, HINHEM en lugar de HINEM, BLASTCNNN en lugar de BLASTCN...

Seguramente fotman parte de lo que se indica en http://spywarefiles.prevx.com/RRGGFD39132685/BLASTCLNNN.EXE.html , ya que los tres nombres aparecen en dicho informe.

Envialos como ya sabes y tras analizarlos, informaremos

saludos

ms, 27-6-2010

Mensaje por **msc hotline sat** » 28 Jun 2010, 12:38

Por casualidad y que son nombres picarescos, han llegado a mis manos tus muestras, pero resulta que las estas enviando con nombre TRILOBOL, cuando tu nick en el foro es GEODA... asi como quieres que los asociemos a tu Tema ??? !!!

Llegan cientos de mails a diario, de clientes, de usuarios de zonavirus y de colaboradores y usuarios no clientes, y se hace una carpeta de cada uno, y los de zonavirus han de indicar su nick o enviarse a traves del boton de muestras, que ya lo pone automaticamente, pero si se nos envia con otro nombre, aunque se resuelva, no se puede informar al usuario afectado...

Bueno, pues efectivamente, los tres ficheros eran variantes del troyano Yahlover, que pasamos a controlar con el ELISTARA de hoy, 21.25

Ademas, vemos es de los que se propaga por pendrive, asi que vacuna tu ordenador y pendrives con el ELIPEN:

~~[b]~~ELIPEN.EXE[/b] (vacuna de protección)

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos

Sobre el SPTD.sys, vemos que es una aplicacion de Duplex Secure Lted, que indica ser SCSI Pass Through Direct. Tiene la particularidad que cuando está en uso no deja ver su contenido, y tampoco acceder a ella, por lo que se asemeja a un RootKit , si bien ningun antivirus la detecta como tal, por lo cual solo informamos para su conocimiento. Diganos si es conocida y voluntaria, y en tal caso dejarla. De otra forma, añadirle .VIR a su extension para que, tras reiniciar no se cargue. Y comentarnoslo para excluir la solicitud de muestras o para eliminarla de la circulación, gracias

saludos

ms, 28-6-2010

Mensaje por **msc hotline sat** » 29 Jun 2010, 12:44

Me han indicado que se ha vuelto a recibir otras muestras con nick TRILOBOL, no sé si es que no has aprendido la leccion, que si eres tu quien lo ha enviado, debes poner tu nick, esto es, "geoda" , sino no habrá respuesta.

Y es que en este caso me he enterado por que se ha enviado a la papelera además, ya que el password no era ni virus ni infected, que son los dos que aceptamos (para los casos de 4 y 8 letras respectivamente.

Si quieres enviar muestras, sigue las Normas, gracias :

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 29-6-2010

geoda · Mensaje por **geoda** » 03 Jul 2010, 03:27

perdon amigos por haber mandado mal mi nombre de usuario es geoda pero trilobol es mi correo trilobol@ no pude renombrar el archivo no me deja ni con el hiren me sale falta arcihivo y no carga el windows

Mensaje por **msc hotline sat** » 03 Jul 2010, 06:23

Pues vuelve a enviar el mail con las muestras, pero pon en el asunto tu nick, "geoda", y los ficheros anexados que vayan empaquetados en un ZIP o RAR con password virus o infected.

No sé los ficheros que enviabas en tu último mail, pero no llegaron a poder ser analizados, pues leo que no iban con el password establecido, ademas de no identificarte con tu nick.

Una vez nos lleguen correctamente, procederemos a analizarlas e informaremos.

ms, 3-7-2010

Mensaje por **msc hotline sat** » 05 Jul 2010, 09:18

RECIBIDO FICHERO 1j038ki.rar DE 1 kb ??? que no responde a los passwords indicados de virus o infected.

Vuelva a enviar dicho fichero pero con el password segun indicamos ( uno de los dos, o virus o infected !!! )

saludos

ms, 5-7-2010

geoda · Mensaje por **geoda** » 20 Jul 2010, 00:10

Hola Amigos perdon por la tardanza en escribir es que estuve de viaje unas semanas[color=#0000FF] el problema es que cuando prendi mi Pc de varias semanas actualize mi antivirus y las utilidades y me salio una cosa curiosa el archivo win.exe me lo detecta como amenaza peligrosa y lo elimina reinicio mi pc y vuelve aperecer este archivo les mando una copia comprimida con el passwoed virus a su correo que me dieron mas arriba mi correo es trilobol@g mai[/color]l [color=#FF0040]otro problema es que uso el USB Disk Security meti mi usb nuevo y me detecto amenazas peligrosas y les renombro con la extencion .Zb

C:\Archivos de programa\USB Disk Security\quarantine

autorun.inf.zb

def.exe.zb

ejpgqn.exe.zb

es peligros que lo mantenga en mi pc les mando los archivos para analizarlo?[/color]

adjunto informes

[color=#0000FF] (19-7-2010 19:50:17 (GMT))

EliStartPage v21.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Julio del 2010)[/color]

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "Win"="C:\WINDOWS\drivers\win.exe"

Entrada Eliminada [HKLM\...\Run] "Win"="C:\WINDOWS\drivers\win.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "explorer"="C:\WINDOWS\drivers\win.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "explorer"="C:\WINDOWS\drivers\win.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(19-7-2010 19:53:09 (GMT))

EliStartPage v21.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 7237

Nº Total de Ficheros: 77014

Nº de Ficheros Analizados: 16310

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[color=#0000FF]IObit Security 360

OS:Windows XP

Version:1.4.5.67[/color]

Definir Version:1642

Tiempo Transcurrido:00:08:38

Objetos Analizados:63254

Amenazas Encontradas:3

[img]http://i28.tinypic.com/2uszz8i.jpg[/img]

|Nombre|Tipo|Descripción|ID|

Trojan.PSW, Registry Key, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{t5tbb77l-4678-0mkc-421q-14416031dyu6}, 5-11185

Trojan.Win32/Agent, Registry Value, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Value=Explorer, 4-25037

TrojanDropper.Delf.NQD, File, C:\WINDOWS\drivers\win.exe, 11-8663

[color=#0000FF](19-7-2010 21:52:04 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.[/color]

-------------------------------------------

Sistema Operativo: Windows Xp Home Edition (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: USUARIO

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\ARCHIVOS DE PROGRAMA\USB SAFELY REMOVE\USBSRSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\IOBIT\IOBIT SECURITY 360\IS360SRV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\POWER TRANSLATOR 14\LOGOMEDIA TRANSLATEDOTNET SERVER.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\UPDATE\NASVC.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\PDF SUITE 2010\CONVERSIONSERVICE.EXE

C:\WINDOWS\INSTALLER\MSI113.TMP

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESSERVICE32.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESAPP32.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INSTALLSHIELD\UPDATESERVICE\ISSCH.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD10\PDVD10SERV.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\BRS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\IOBIT\IOBIT SECURITY 360\IS360TRAY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\SHARED FILES\WNKSM.EXE

C:\ARCHIVOS DE PROGRAMA\USB SAFELY REMOVE\USBSAFELYREMOVE.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS PRO\DTSHELLHLP.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\ARCHIVOS DE PROGRAMA\USB DISK SECURITY\USBGUARD.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

F:\INSTALADORES 2010\ANTIVIRUS\MATA_VIRUS_AMVO_USB\SATINFO\SATINFOARREGLO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: PDF Suite Helper - {1AD61D5B-58A3-4592-9B34-DC84688FF805} - C:\Archivos de programa\PDF Suite 2010\PDFIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~3\Office14\GROOVEEX.DLL

O2 - BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~3\Office14\URLREDIR.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: PDF Suite Toolbar - {261F6A8B-7AAF-4BF5-8552-6610F4D67819} - C:\Archivos de programa\PDF Suite 2010\PDFIEPlugin.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator 14\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [estm] C:\shared files\wnksm.exe

O4 - HKCU\..\Run: [USB Safely Remove] C:\Archivos de programa\USB Safely Remove\USBSafelyRemove.exe /startup

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount

O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Archivos de programa\DAEMON Tools Pro\DTAgent.exe" -autorun

O4 - HKCU\..\Run: [win] C:\WINDOWS\drivers\win.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [USB Antivirus] C:\Archivos de programa\USB Disk Security\USBGuard.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [RemoteControl10] "C:\Archivos de programa\CyberLink\PowerDVD10\PDVD10Serv.exe"

O4 - HKLM\..\Run: [BDRegion] C:\Archivos de programa\Cyberlink\Shared files\brs.exe

O4 - HKLM\..\Run: [BCSSync] "C:\Archivos de programa\Microsoft Office\Office14\BCSSync.exe" /DelayServices

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [IObit Security 360] "C:\Archivos de programa\IObit\IObit Security 360\IS360tray.exe" /autostart

O4 - HKLM\..\Run: [win] C:\WINDOWS\drivers\win.exe

O4 - HKCU\..\Policies\Explorer\Run: [explorer] C:\WINDOWS\drivers\win.exe

O4 - HKLM\..\Policies\Explorer\Run: [explorer] C:\WINDOWS\drivers\win.exe

O8 - Extra context menu item: &Enviar a OneNote - res://C:\ARCHIV~1\MICROS~3\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office14\EXCEL.EXE/3000

O8 - Extra context menu item: Free YouTube Download - C:\Documents and Settings\Administrador\Datos de programa\DVDVideoSoftIEHelpers\youtubedownload.htm

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\Administrador\Datos de programa\DVDVideoSoftIEHelpers\youtubetomp3.htm

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2B5D703-3CB7-4682-92A8-1D18A6952CE1}: NameServer = 200.90.144.7 200.105.128.40

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: RAILNOTIFICATION - WINLOGONNOTIFICATION.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\ARCHIV~1\MICROS~3\Office14\GROOVEEX.DLL

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456704 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 576512 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 697328 bytes) ()

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation

Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: IS360service - IObit - C:\Archivos de programa\IObit\IObit Security 360\IS360srv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator 14\LogoMedia TranslateDotNet Server.exe

O23 - Service: @C:\Archivos de programa\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Archivos de programa\Nero\Update\NASvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDF Suite 2010 Service - Interactive Brands Inc. - C:\Archivos de programa\PDF Suite 2010\ConversionService.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSI113.tmp

O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

O23 - Service: USB Safely Remove Assistant (USBSafelyRemoveService) - Unknown owner - C:\Archivos de programa\USB Safely Remove\USBSRService.exe

O23 - Service: Power Control [2010/07/02 19:16:19] ({1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}) - CyberLink Corp. - C:\Archivos de programa\CyberLink\PowerDVD10\NavFilter\000.fcl

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

26 Servicios.

13 de Carga Automatica.

12 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 20 Jul 2010, 06:12

Pues envianos tambien estos ficheros :

autorun.inf.zb

def.exe.zb

ejpgqn.exe.zb

está claro que se trata de un virus de los que se transmiten por pendrive, tras recibirlos lo controlaremos con el siguiente ELISTARA.

Y estos ficheros, asi renombrados, no son peligrosos, tranquilo, pero cuidado con los pendrive, que deben estar infectados.

Nosotros recomendamos vacunar con el ELIPEN ordenadores y pendrives, :

vacune todas sus unidades de disco y pendrive con el ELIPEN:

~~[b]~~ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y no creo que lo tengas ya, pero si fuera el caso, añade .VIR a este fichero y envianoslo para analizar:

C:\WINDOWS\drivers\win.exe

saludos

ms, 20-7-2010

geoda · Mensaje por **geoda** » 20 Jul 2010, 06:41

Amigo ya les envie las muestras lo renombro pero sigue apareciendo

[img]http://i28.tinypic.com/1zb72n7.jpg[/img]

perdon vuelvo a mandar otra vez los archivos porque me aprarecio autorun.exe

Mensaje por **msc hotline sat** » 20 Jul 2010, 07:43

Pues parece que te están atacando por varios frentes...

por el AUTORUN.INF , a través de pendrive, que parece ya estar controlado

por este AUTORUN.EXE que dices que te ha aparecido

y por este WIN.EXE que se resiste a ser eliminado

De entrada, aparte de enviarnoslo, arranca en modo seguro y añade .VIR al AUTORUN.EXE , y en dicho modo, prueba de volver a renombrar o ya borrar (porque ya lo tienes como WIN.EXE.VIR), el WIN.EXE dichoso que se regenera en C:\windows\drivers\ , a ver si ahora no se regenera, y, tras reiniciar, comprueba que siga igual, como .VIR pero sin que se haya regenerado el .EXE

Posiblemente este AUTORUN.EXE lo regenera, o se regeneran mituamente, protegiendose, por esto te decimos que lo hagas en MODO SEGURO, para que no estén en marcha ninguno de los dos.

Y nos cuentas el resultado.

Aparte, cuando recibamos las muestras, las analizaremos e informaremos

saludos

ms, 20-7-2010

geoda · Mensaje por **geoda** » 21 Jul 2010, 04:03

Amigo hice lo que me dijiste entre en modo seguro y lo renombre y se elimino cuando use el EliStartPage reinicie 5 veces y ya no aparece el archivo

ojala hayas recibido las muestras para poder analizarlos gracias

espero tu respuesta sobre los archivos y podemos cerrar el post

(20-7-2010 19:51:07 (GMT))

EliStartPage v21.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\DRIVERS\WIN.EXE --> Eliminado Keylog-Spynet.F

C:\WINDOWS\Drivers\PLUGIN.DAT --> Eliminado (Fichero Complementario).

C:\WINDOWS\Drivers\WINL.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "WIN"="C:\WINDOWS\drivers\win.exe"

Entrada Eliminada [HKLM\...\Run] "WIN"="C:\WINDOWS\drivers\win.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "explorer"="C:\WINDOWS\drivers\win.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "explorer"="C:\WINDOWS\drivers\win.exe"

Eliminado , Installed Components "{T5TBB77L-4678-0MKC-421Q-14416031DYU6}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(20-7-2010 19:57:16 (GMT))

EliStartPage v21.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\drivers\WIN.EXE.VIR --> Eliminado, Keylog-Spynet.F

Nº Total de Directorios: 7200

Nº Total de Ficheros: 75584

Nº de Ficheros Analizados: 16284

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mensaje por **msc hotline sat** » 21 Jul 2010, 06:06

Fabuloso !

Pues no me consta que qyer se recibiera nada con nick GEODA, lo revisaré hoy, pero de momento ya ha quedado solucionado, y solo queda analizar las muestras y proceder en consecuencia, de lo cual informaremos

saludos

ms, 21-7-2010

Mensaje por **msc hotline sat** » 21 Jul 2010, 11:31

Con razon no entró ayer como GEODA, porque dijistre que tu nick era SATINFO (nombre que no se debe usar, pero ...)

~~[b]~~[i]Amigoscomo dije en el foro les mando el archivo la contraseña es virus

estre es mi correo oficial pero mi nick es satinfo[/i][/b]

Sea como fuere, se procesaron las muestras (especialmente el MALWARE WIN.EXE) y se implementí su control y eliminacion en el ELISTARA 21.41, que ya hemos visto probaste satisfactoriamente.

En cambio los ficheros *.EXE.NP son de cuarentena, cifrados por el antivirus que los detectó, asi que ya los puedes borrar.

Pues ya dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 21-7-2010

Otra vez un Virus? (SOLUCIONADO)

Otra vez un Virus? (SOLUCIONADO)

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?

Re: Otra vez un Virus?