Sospecha de troyanos que deshabilitan internet

[msc hotline sat]

Pues por lo menos ya hemos eliminado lo del RUNDLL, veamos ahora como ha quedado el log del SPROCES tras lo que ya has hecho. Lanza de nuevo dicha utilidad y posteanos de nuevo log (con un copiar y pegar del contenido de c:\sproclog.txt)



saludos



ms, 10-9-2010

[lolita43]

(10-9-2010 08:04:09 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: HP69213155927

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\FILE SANITIZER\HPFSSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DRIVE ENCRYPTION\HPFKCRYPT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACEVENTS.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCHSVX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGRSX.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCSRVX.EXE

C:\WINDOWS\SYSTEM32\SCARDSVR.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\IAM\BIN\ASGHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\CORE\SMAX4PNP.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTEL\PRIVACY ICON\PRIVACYICONCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACCRDSUB.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\PTHOSTTR.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\FILE SANITIZER\CORESHREDDER.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\WINDOWS\SMINST\SCHEDULER.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB08.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\ARCHIV~1\AVG\AVG9\AVGTRAY.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACEVENTS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACCOCA.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGWDSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\PTCHANGEFILTERSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGNSX.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTERVIDEO\REGMGR\IVIREGMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\AMT\LMS.EXE

C:\ARCHIVOS DE PROGRAMA\PDF COMPLETE\PDFSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\PROTEXIS\LICENSE SERVICE\PSISERVICE_2.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTEL\PRIVACY ICON\UNS\UNS.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\SHARED\HPQWMIEX.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\SPROCES.EXE

[lolita43]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Taskman=C:\Documents and Settings\Administrador\Datos de programa\ogix.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: adShotHlpr Object - {2F408298-C2F2-4219-AC39-E12AA3611943} - C:\WINDOWS\system32\tvxfp.dll (file missing)

O2 - BHO: BHO_Startup Class - {3134413B-49B4-425C-98A5-893C1F195601} - C:\Archivos de programa\Hewlett-Packard\File Sanitizer\IEBHO.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: moigh Object - {8A0DEFA0-6DB1-446B-995A-672E7C159D25} - C:\WINDOWS\system32\pvxfp.dll (file missing)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {CBF4E497-2063-4042-A466-1EBC1A9732F3} - c:\windows\system32\dlo4.dll

O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Archivos de programa\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [picon] "C:\Archivos de programa\Archivos comunes\Intel\Privacy Icon\PrivacyIconClient.exe" -startup

O4 - HKLM\..\Run: [WatchDog] C:\Archivos de programa\InterVideo\DVD8SESD\DVDCheck.exe

O4 - HKLM\..\Run: [PDF Complete] C:\Archivos de programa\PDF Complete\pdfsty.exe

O4 - HKLM\..\Run: [accrdsub] "C:\Archivos de programa\ActivIdentity\ActivClient\accrdsub.exe"

O4 - HKLM\..\Run: [PTHOSTTR] C:\Archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\ARCHIV~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [SetRefresh] C:\Archivos de programa\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [File Sanitizer] C:\Archivos de programa\Hewlett-Packard\File Sanitizer\CoreShredder.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe

O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe

O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [MChk] C:\WINDOWS\system32\gvxfp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

[lolita43]

Me pasa como la otra vez...no me deja enviar más lineas...como os lo mando? :roll:



Thanks!

[msc hotline sat]

De momento vale con estas.



Envienos estos ficheros para analizar:





C:\Documents and Settings\Administrador\Datos de programa\ogix.exe



C:\WINDOWS\system32\pvxfp.dll



C:\WINDOWS\system32\tvxfp.dll



c:\windows\system32\dlo4.dll



C:\WINDOWS\system32\gvxfp.exe





Es muy posible que se trate de una variante de PALEVO no controlada ni como sospechoso... pero a la vista de las muestras obraremos en consecuencia, de lo cual informaremos





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 10-9-2010

[lolita43]

No me encuentra ninguno de esos archivos. :x



Los he buscado manualmente y con el buscador de windows y nada...

[msc hotline sat]

Pruebelo con el ELIMOVER:





DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp



(y con un copiar y pegar copie uno a uno las rutas y ficheros)



saludos



ms, 10-9-2010

[lolita43]

Hola de nuevo,



Elimover me dice que no existe ningun fichero de esos...



Cada vez tengo más problemas. Se abren páginas del explorador solas y acto seguido salta el antivirus.

También me aparecen mensajes de error en aplicaciones. :?



Qué más puedo hacer?



Gracias!!

[msc hotline sat]

Pues como del ELIPALEVO ya andamos por la 1.80, descargue la versaion actual y posteenos el infosat.txt, ya que el que paso fue el 1.86 y puede que ahora ya se controle estos que nos parece que son de dicha familia...



Ah, y mejor arranque en MODO SEGURO CON FUNCIONES DE RED tanto para descargarlo como para lanzarlo.



saludos



ms, 23-9-2010

[lolita43]

He intentado hacer la descarga y en el proceso de los sms, cuando lo introduzco me pone que es incorrecto. No me deja descargarlos pero temo que sea problema del pc.



Estoy en modo seguro con funciones de red. (me va fatal!!)



He enviado 2 sms por lo que tengo 2 cógidos de descarga y ninguno me sirve.



Qué hago? :oops:

[lolita43]

Otra cosa más:



Me está costando abrir el explorador muchísimo...cuando reinicio me salen cientos de mensajes de error al iniciar aplicaciones.

[msc hotline sat]

En MODO SEGURO CON FUNCIONES DE RED no debe pasarle...



Lo ha probado así, como le decíamos en el post anterior?



saludos



ms, 23-9-2010

[lolita43]

Si!! Lo he probado y me va bastante mal, a parte de la pérdida de los dos códigos SAT, que no me ha servido para nada descargarlos. No puedo efectuar la descarga. Me dice que los códigos son incorrectos.



Podíes comprobar que lo he hecho 2 veces.

[msc hotline sat]

Pues por favor, contacta con ADMIN que te resolverá lo de los SMS, yo no tengo acceso a ello:



[i]"En caso de incidencia, exponga su problema a nuestro departamento de [url=http://www.pymsolutions.com/soporte-sms-premium.asp]soporte SMS Premium.[/url] "[/i]





saludos



ms, 23-9-2010

[lolita43]

Al fin lo conseguí!



Pego aquí el resultado de Elipalevo:



(24-9-2010 07:46:22 (GMT))

EliPalevo v1.80 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



(24-9-2010 07:50:07 (GMT))

EliPalevo v1.80 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11154

Nº Total de Ficheros: 97732

Nº de Ficheros Analizados: 3869

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues arranca en MODO SEGURO y lanzas el ELIMOVER entrandole, con un copiar y pegar, esto:



C:\Documents and Settings\Administrador\Datos de programa\ogix.exe



y nos cuentas si lo encuentra, pero en cualquier caso, mira si en C:\muestras\ hay algun fichero y nos lo dices y en su caso nos lo envías.



saludos



ms, 24-9-2010

[lolita43]

Lo acabo de hacer y ahora mismo estoy en modo seguro y nada. No encuentra fichero y la carpeta de muestras se encuentra vacía. :evil:

[msc hotline sat]

Pues lo debió eliminar tu antivirus... porque la clave de registro está !



Si en modo normal persiste la anomalía, descarga el Cureit, lo lanzas y nos comentas el resultado:



ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe



saludos



ms, 24-9-2010

[lolita43]

De acuerdo, ahora lo descargo porque cada vez va a más...



He pasado el Elistara última versión y me ha eliminado un troyano.



Pego aquí la información por si sirve de ayuda ;-)



(24-9-2010 09:19:24 (GMT))

EliStartPage v21.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\EQUX\CYOH.EXE --> Eliminado Spy.ZBot.Y

Entrada Eliminada [HKCU\...\Run] "{18E5885C-D7D4-6277-2B5C-2C7D0909B8D7}"=""C:\Documents and Settings\Administrador\Datos de programa\Equx\cyoh.exe""

Entrada Eliminada [HKLM\...\Run] "UserFaultCheck"="%systemroot%\system32\dumprep 0 -u"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-9-2010 09:31:41 (GMT))

EliStartPage v21.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11079

Nº Total de Ficheros: 96100

Nº de Ficheros Analizados: 31825

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Sí, claro:


[quote]EliStartPage v21.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\EQUX\CYOH.EXE --> Eliminado Spy.ZBot.Y[/quote]

Se trata de un RootKit de dificil detección y que se cuida de esconder claves, ficheros y procesos...



Bueno, a ver qué detecta ahora el Cureit, y si acaso, mejor lanzalo en MODO SEGURO.



saludos



ms, 24-9-2010

[lolita43]

Ya lo he pasado.



Me ha dicho que estaba infectado y que si quería curarlo le diera a reiniciar, pero no me he fijado en lo que me decía pensando que ahora podría mirar el resultado.. :roll:



Ahora lo vuelvo a pasar y si puedo pego las estadísticas, no?

[lolita43]

Ya lo he vuelto a pasar y me dice que no hay archivos infectados pero que pueda que tenga algún virus y para eso debería hacer un escaner más exaustivo, no el rápido.

[msc hotline sat]

Pues dinos si tras reiniciar en MODO NORMAL persiste alguna anomalía o no, pero lo mas importante que ocultaba los posibles malwares (el RootKit) ya se eliminó y ahora con la pasada final es de esperar que ya esté solucionado.



Sino, posteanos nuevo log de SPROCES de ahora, gracias



saludos



ms, 24-9-2010

[lolita43]

(24-9-2010 12:01:41 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: HP69213155927

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\FILE SANITIZER\HPFSSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DRIVE ENCRYPTION\HPFKCRYPT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCHSVX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGRSX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCSRVX.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\IAM\BIN\ASGHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\CORE\SMAX4PNP.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTEL\PRIVACY ICON\PRIVACYICONCLIENT.EXE

C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACCRDSUB.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\PTHOSTTR.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\FILE SANITIZER\CORESHREDDER.EXE

C:\WINDOWS\CREATOR\REMIND_XP.EXE

C:\WINDOWS\SMINST\SCHEDULER.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB08.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\ARCHIV~1\AVG\AVG9\AVGTRAY.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACEVENTS.EXE

C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACCOCA.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\PTCHANGEFILTERSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTERVIDEO\REGMGR\IVIREGMGR.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGNSX.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\AMT\LMS.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\PDF COMPLETE\PDFSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\PROTEXIS\LICENSE SERVICE\PSISERVICE_2.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTEL\PRIVACY ICON\UNS\UNS.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\SHARED\HPQWMIEX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCSRVX.EXE

C:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Taskman=C:\Documents and Settings\Administrador\Datos de programa\ogix.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\appconf32.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: adShotHlpr Object - {2F408298-C2F2-4219-AC39-E12AA3611943} - C:\WINDOWS\system32\tvxfp.dll (file missing)

O2 - BHO: BHO_Startup Class - {3134413B-49B4-425C-98A5-893C1F195601} - C:\Archivos de programa\Hewlett-Packard\File Sanitizer\IEBHO.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: moigh Object - {8A0DEFA0-6DB1-446B-995A-672E7C159D25} - C:\WINDOWS\system32\pvxfp.dll (file missing)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {CBF4E497-2063-4042-A466-1EBC1A9732F3} - c:\windows\system32\dlo4.dll (file missing)

O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Archivos de programa\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll

O2 - BHO: Adobe PDF Reader Link Helper - {F22C37FD-2BCB-40b6-A12E-77DDA1FBDD88} - C:\WINDOWS\system32\AcroIEHelpe.dll (file missing)

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [picon] "C:\Archivos de programa\Archivos comunes\Intel\Privacy Icon\PrivacyIconClient.exe" -startup

O4 - HKLM\..\Run: [WatchDog] C:\Archivos de programa\InterVideo\DVD8SESD\DVDCheck.exe

O4 - HKLM\..\Run: [PDF Complete] C:\Archivos de programa\PDF Complete\pdfsty.exe

O4 - HKLM\..\Run: [accrdsub] "C:\Archivos de programa\ActivIdentity\ActivClient\accrdsub.exe"

O4 - HKLM\..\Run: [PTHOSTTR] C:\Archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\ARCHIV~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [SetRefresh] C:\Archivos de programa\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [File Sanitizer] C:\Archivos de programa\Hewlett-Packard\File Sanitizer\CoreShredder.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe

O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe

O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [MChk] C:\WINDOWS\system32\gvxfp.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1263558292812

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG9\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - AppInit_DLLs: APSHook.dll

O20 - Winlogon Notify: ACKPBSC - C:\WINDOWS\SYSTEM32\ACKPBSC.DLL

O20 - Winlogon Notify: ACUNLOCK - C:\ARCHIVOS DE PROGRAMA\ACTIVIDENTITY\ACTIVCLIENT\ACUNLOCK.DLL

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DEVICENP - DEVICENP.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: EGYPACK - EGYPACK.DLL (file missing)

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\baxetoak.sys (de 768000 bytes) ()

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - C:\Archivos de programa\ActivIdentity\ActivClient\accoca.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: HP ProtectTools Service - Hewlett-Packard Development Company, L.P - C:\Archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe

O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - C:\Archivos de programa\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

O23 - Service: File Sanitizer for HP ProtectTools (HPFSService) - Hewlett-Packard - C:\Archivos de programa\Hewlett-Packard\File Sanitizer\HPFSService.exe

O23 - Service: IviRegMgr - InterVideo - C:\Archivos de programa\Archivos comunes\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: LightScribeService - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Archivos de programa\Intel\AMT\LMS.exe

O23 - Service: Norton Ghost - Unknown owner - C:\Archivos de programa\Norton Ghost\Agent\VProSvc.exe (file missing)

O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Archivos de programa\PDF Complete\pdfsvc.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

O23 - Service: regi - InterVideo - C:\WINDOWS\SYSTEM32\drivers\regi.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Archivos de programa\Archivos comunes\Intel\Privacy Icon\UNS\UNS.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Servicio de instalación del controlador de audio (WDM) de Intel(r) 82801 (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys

O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys

O23 - Service: AE Audio Service (AEAudio) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys

O23 - Service: DAMDrv - Hewlett-Packard Development Company L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\DAMDrv.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador del adaptador Intel(R) PRO (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver K (e1kexpress) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1k5132.sys

O23 - Service: Bloqueo de dispositivos/auditoría de HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - C:\WINDOWS\system32\flcdlock.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GearAspiWDM (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Generic Mount Driver (GenericMount) - Symantec Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\GenericMount.sys

O23 - Service: GenericMount Helper Service - Unknown owner - C:\Archivos de programa\Norton Ghost\Shared\Drivers\GenericMountHelper.exe (file missing)

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Intel(R) Management Engine Interface (HECI) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\HECI.sys

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: i81x - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\i81xnt5.sys

O23 - Service: iAimFP0 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV01nt.sys

O23 - Service: iAimFP1 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV02NT.sys

O23 - Service: iAimFP2 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV05NT.sys

O23 - Service: iAimFP3 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wSiINTxx.sys

O23 - Service: iAimFP4 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wVchNTxx.sys

O23 - Service: iAimFP5 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV07nt.sys

O23 - Service: iAimFP6 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV08nt.sys

O23 - Service: iAimFP7 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV09nt.sys

O23 - Service: iAimTV0 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV01nt.sys

O23 - Service: iAimTV1 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV02NT.sys

O23 - Service: iAimTV3 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV04nt.sys

O23 - Service: iAimTV4 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wCh7xxNT.sys

O23 - Service: iAimTV5 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV10nt.sys

O23 - Service: iAimTV6 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV06nt.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: IFXTPM - Infineon Technologies AG - C:\WINDOWS\SYSTEM32\DRIVERS\IFXTPM.SYS

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: IVI ASPI Shell (Iviaspi) - InterVideo, Inc. - C:\WINDOWS\SYSTEM32\drivers\Iviaspi.sys

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Nal Service (NAL) - Intel Corporation - C:\WINDOWS\system32\Drivers\iqvw32.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SymSnapService - Unknown owner - C:\Archivos de programa\Norton Ghost\Shared\Drivers\SymSnapService.exe (file missing)

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Symantec Event Monitor Driver (VProEventMonitor) - Symantec Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\vproeventmonitor.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\system32\DRIVERS\symc810.sys

O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\system32\DRIVERS\symc8xx.sys

O23 - Service: Symmpi - LSI Logic - C:\WINDOWS\system32\DRIVERS\symmpi.sys

O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_hi.sys

O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_u3.sys



66 Servicios.

18 de Carga Automatica.

41 de Carga Manual.

7 Deshabilitados.

[lolita43]

Lo posteo por si acaso.



Acabo de hacer unas comprobaciones y os digo a ver si funciona correctamente.



Pero ahora debo irme.



En otro momento lo reviso.



MIL GRACIAS COMO SIEMPRE :)

[msc hotline sat]

Pues ahora aparece una clave lanzando este fichero que antes no se veía:



C:\WINDOWS\SMINST\Scheduler.exe



añade .VIR a su extension y envianoslo para analizar





Tras analizarlos, informaremos del resultado





saludos



ms, 24-9-2010







NOTA: Sin duda la eliminación del RootKit nos permite ver lo que antes ocultaba :) !

[lolita43]

Ya he enviado la muestra. :wink:

[msc hotline sat]

No ha entrado ninguna muestra con su nick (lolita43)



recuerde:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 27-9-2010

[lolita43]

Qué raro...ya la he vuelto a mandar.

[msc hotline sat]

Ahora sí que ha llegado, y realizado el preanalisis:





File name: Scheduler.vir.exe

Submission date: 2010-09-28 07:58:10 (UTC)

Current status: queued queued analysing finished





Result: 0/ 43 (0.0%)





MD5 : c1915a84502b38d548d0c9351dff3e47

SHA1 : 18f4496765a59b921a887825a1f4d0e3cd6c52bf



File size : 872448 bytes





Pero no resulta ser virico, solo un programador de tareas, lo cual puede lanzar en cualquier momento algo malicioso, sin que el lo sea.



Voy a ver si adivino cual es el que puede estar lanzando...





Pues vamos a tirar un tiro al aire, a ver si cazamos el pájaro en cuestión:





C:\windows\system32\Drivers\baxetoak.sys





A ver si puedes enviarnos este fichero, y si te cuesta mejor, ya que me temo que es un RootKit BUBNIX, y si te es fácil el copiar y pegar para enviarnoslo, posiblemente no lo sea, pero si se resiste..., a por él.



Como ya hemos dicho para otros BUBNIX, si te cuesta copiar y pegar para enviarnoslo, y ni siquiera puedes añadorle extension .VIR, buena señal ! :)



En tal caso, arranca con el CD de instalacion, vas a la carpeta indicada y añades .VIR a la extension de dicho fichero, y asi tras reiniciar podrás enviarnoslo, y si es el caso, implementaremos su control y eliminacion en la proxima versión del ELISTARA



Y si es esto, con razón ibamos dando vueltas a ficheros que no accedías !. Los RootKits ocultan claves, ficheros y procesos haciendo mas dificil su deteccion y eliminacion



Ojala sea esto...



saludos



ms, 28-9-2010





NOTA: A no ser que ya no haya anomalias, que te fuiste con prisas sin acabar de comprobarlo... , dinoslo ante todo, para no buscar lo que no hay ... !!!