Página rara en explorador

[GNART666]

Mi computadora se me ha infectado con un virus que me ha deshabilitado el anti virus, la herramienta de restaurar sistema, task manager, inclusive no puedo hacer uso de estas herramientas en modo a prueba de fallos, además la momento de abrir el explorador, me da por default la sig. página como principal:



3-8-t-4-f-d-v-d-v-9-7-0-9-s-v-5-9-0-a-d.-e-7-1-4-0-1-.u-l-c-6-e-p-a-a-o-z-m-s-m-oo-v-2-i-7-5-f-l-7-7-l-t-j-h-9.info





si alguien sabe como poder resolver este problemón, le agradezco de antemano su ayuda







gracias y saludos..!

[msc hotline sat]

No es conocido, pero descarga el ELISTARA a ver si detecta algo anormal, pruebala y posteanos el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



Y si no detectara nada ni pidiera enviar muestras para analizar, lanza el SPROCES y tras postearnos el log resultante, lo analizaremos.


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
Tras el análisis informaremos al respecto.



saludos



ms, 21-9-2010

RMXDF

[GNART666]

Enterado, procedo a la instalación de dichas utilidades, en cuanto tenga resultados, los posteo





gracias mil

[msc hotline sat]

Acabo de subir nueva version del ELISTARA 21.66



Descarga esta que tiene control de lo último conocido.



saludos



ms, 21-9-2010

[GNART666]

Hola, el Elistara no arrojó ningún informe en txt, pero les mandé las muestras, por el lado del SProces, aqui está lo que arrojó:



(22-9-2010 15:46:10 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: DGC4

Nombre Usuario: armando.vazquez



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\CISCO SYSTEMS\CSAGENT\BIN\CSACONTROL.EXE

C:\ARCHIVOS DE PROGRAMA\CISCO SYSTEMS\CSAGENT\BIN\LEVENTMGR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AMD\RAIDXPERT\BIN\RAIDXPERTSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\AMD\RAIDXPERT\BIN\RAIDXPERT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\BROADCOM\MGMTAGENT\BRCMMGMTAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTERVIDEO\REGMGR\IVIREGMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\PROTEXIS\LICENSE SERVICE\PSISERVICE_2.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\REALVNC\VNC4\WINVNC4.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVCM.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE14\OFFICESAS\OFFICESASSCHEDULER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE14\OFFICESAS\OFFICESAS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ELISTARA.EXE

C:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://4-6-4-6-9-3-.5-1-4-9-1-5-4-5-x-8-7-8-.i-k-r-g-1-0-u-5-1-f-3-g-li-9-p-1-x-t-6-g-l-8-m-q-y-s-k-6-l.info

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://u-p-q.-0-9-p-8-3-0-2-.u-l-c-6-e-p-a-a-0-z-m-s-m-00-v-2-i-7-5-f-l-7-7-l-t-j-h-h-9.info

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.32.103.2:8080 (1)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (1)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [NVIDIA Media Center Library ] C:\Documents and Settings\armando.vazquez\armando.vazquez1\winlogon.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [amd_dc_opt] C:\Archivos de programa\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SetRefresh] C:\Archivos de programa\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [iSaverCtrl] C:\Archivos de programa\iSaver\iSaverCtrl.exe --startup

O4 - HKLM\..\Run: [BCSSync] "C:\Archivos de programa\Microsoft Office\Office14\BCSSync.exe" /DelayServices

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NVIDIA Media Center Library ] C:\Documents and Settings\armando.vazquez\armando.vazquez1\winlogon.exe

O4 - Global Startup: Cisco Security Agent.lnk = C:\Archivos de programa\Cisco Systems\CSAgent\bin\okclient.exe

O4 - Global Startup: Clean Access Agent.lnk = C:\Archivos de programa\Cisco Systems\Clean Access Agent\CCAAgent.exe

O4 - Global Startup: OfficeSAS.lnk = C:\Archivos de programa\Microsoft Office\Office14\OfficeSAS\officeSASscheduler.exe

O4 - Global Startup: VPN Client.lnk = C:\WINDOWS\Installer\{6DC47739-3BB0-4494-A43D-193BF54070AE}\Icon3E5562ED7.ico

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office14\EXCEL.EXE/3000

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Intranet ZoneO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1266856619031

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DF63BF1E-D4FF-4028-A6E9-DD451AFFEFEC}: NameServer = 192.168.66.1

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - AppInit_DLLs: csauser.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

Clave "HKLM\...\Image File Execution Options\egui.exe"

"Debugger"=""C:\Documents and Settings\Administrador\Administrador1\winlogon.exe""

Clave "HKLM\...\Image File Execution Options\ekrn.exe"

"Debugger"=""C:\Documents and Settings\Administrador\Administrador1\winlogon.exe""

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMD RAIDXpert (AMD_RAIDXpert) - AMD - C:\Archivos de programa\AMD\RAIDXpert\bin\RAIDXpertService.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: BASFND - Broadcom Corporation - C:\Archivos de programa\Broadcom\MgmtAgent\BASFND.sys

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Broadcom Management Agent (BrcmMgmtAgent) - Broadcom Corporation - C:\Archivos de programa\Broadcom\MgmtAgent\BrcmMgmtAgent.exe

O23 - Service: Cisco Security Agent (CSAgent) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\CSAgent\bin\CSAControl.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Cisco Systems Inc. IPSec Driver (CVPNDRVA) - Cisco Systems, Inc. - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: epfw - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfw.sys

O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: IviRegMgr - InterVideo - C:\Archivos de programa\Archivos comunes\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: NetGroup Packet Filter Driver (NPF) - CACE Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

O23 - Service: regi - InterVideo - C:\WINDOWS\SYSTEM32\drivers\regi.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SeaPort - Microsoft Corp. - C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Servicio de instalación del controlador de audio (WDM) de Intel(r) 82801 (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys

O23 - Service: AMD Low Level Device Driver (AmdLLD) - AMD, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\AmdLLD.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys

O23 - Service: Broadcom Advanced Server Program Driver (Blfp) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\baspxp32.sys

O23 - Service: Cisco Systems VPN Adapter (CVirtA) - Cisco Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\CVirtA.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Deterministic Network Enhancer Miniport (DNE) - Deterministic Networks, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\dne2000.sys

O23 - Service: Controlador del adaptador Intel(R) PRO (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Personal Firewall (Epfwndis) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\Epfwndis.sys

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: i81x - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\i81xnt5.sys

O23 - Service: iAimFP0 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV01nt.sys

O23 - Service: iAimFP1 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV02NT.sys

O23 - Service: iAimFP2 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV05NT.sys

O23 - Service: iAimFP3 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wSiINTxx.sys

O23 - Service: iAimFP4 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wVchNTxx.sys

O23 - Service: iAimFP5 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV07nt.sys

O23 - Service: iAimFP6 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV08nt.sys

O23 - Service: iAimFP7 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV09nt.sys

O23 - Service: iAimTV0 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV01nt.sys

O23 - Service: iAimTV1 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV02NT.sys

O23 - Service: iAimTV3 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV04nt.sys

O23 - Service: iAimTV4 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wCh7xxNT.sys

O23 - Service: iAimTV5 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV10nt.sys

O23 - Service: iAimTV6 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV06nt.sys

O23 - Service: IFXTPM - Infineon Technologies AG - C:\WINDOWS\SYSTEM32\DRIVERS\IFXTPM.SYS

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: IVI ASPI Shell (Iviaspi) - InterVideo, Inc. - C:\WINDOWS\SYSTEM32\drivers\iviaspi.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\system32\DRIVERS\symc810.sys

O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\system32\DRIVERS\symc8xx.sys

O23 - Service: Symmpi - LSI Logic - C:\WINDOWS\system32\DRIVERS\symmpi.sys

O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_hi.sys

O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_u3.sys



66 Servicios.

21 de Carga Automatica.

38 de Carga Manual.

7 Deshabilitados.

[GNART666]

Una pregunta, me pueden recomendar algún buen anti virus? al parecer mi ESET actualizado y todo, no pudo con ese bicho...



gracias y saludos..!

[msc hotline sat]

Vemos estos ficheros atípicos que conviene saber si los conoces y son coluntarios:





C:\ARCHIVOS DE PROGRAMA\AMD\RAIDXPERT\BIN\RAIDXPERTSERVICE.EXE





C:\ARCHIVOS DE PROGRAMA\AMD\RAIDXPERT\BIN\RAIDXPERT.EXE





Si no los conoces, envianoslos para analizar.





Y estas dos claves son reconocidas como malwares:





R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://4-6-4-6-9-3-.5-1-4-9-1-5-4-5-x-8 ... k-6-l.info



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://u-p-q.-0-9-p-8-3-0-2-.u-l-c-6-e- ... h-h-9.info







Deben ser eliminadas !





y este otro fichero es muy sospechoso:



C:\Documents and Settings\armando.vazquez\armando.vazquez1\winlogon.exe





añade .VIR a su extension y envianoslo para analizar





y este posiblemente sea copia del mismo:



C:\Documents and Settings\Administrador\Administrador1\winlogon.exe""



añadele tambien .VIR a su extension.





Y tras reiniciar, comentanos el resultado.





Cuando recibamos las muestras indicadas, las analizaremos e informaremos.



saludos



ms, 22-9-2010





NOTA: Y sobre recomendación de antivirus, vea lo indicado en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=28758



ms.

[GNART666]

ok, gracias por la recomendación, solo tengo una duda, no puedo accesar a "Ejecutar" no me permite acceder al regedit, como hago para eliminar las cadenas del internet explorer?



gracias y saludos..!

[msc hotline sat]

Con el BUSCAREG:







[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



saludos



ms, 22-9-2010

[GNART666]

Hola, ya pude eliminar las entradas del registro del internet explorer, sin embargo cuando acceso a las siguientes carpetas:



C:\Documents and Settings\armando.vazquez\armando.vazquez1\winlogon.exe



C:\Documents and Settings\Administrador\Administrador1\winlogon.exe



las carpetas aparecen vacias sin ningún archivo dentro, ya les mando los archivos RAIDXpert y RAIDXpertService



gracias y saludos..!

[msc hotline sat]

Mira si encuentras dichos ficheros con el ELIMOVER:





DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp





y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio



Y nos envias lo que encuentres, lo analizaremos e informaremos



saludos



ms, 22-9-2010

[GNART666]

malas noticias: el Elimover, no encuentra los archivos winlogon.exe

[msc hotline sat]

Porque no lo buscabas donde lo había aparcado el ELISTARA :wink: (C:\muestras)



Como que ya nos lo has enviado, y en el preanalisis vemos que realmente es malware:



File name: WINLOGON.EXE.Muestra EliStartPage v21.65

Submission date: 2010-09-23 08:24:06 (UTC)

Current status: finished

Result: 15 /43 (34.9%)

VT Community



not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.09.22.00 2010.09.22 Malware/Win32.Rontokbro

AntiVir 8.2.4.60 2010.09.22 -

Antiy-AVL 2.0.3.7 2010.09.23 -

Authentium 5.2.0.5 2010.09.22 -

Avast 4.8.1351.0 2010.09.22 -

Avast5 5.0.594.0 2010.09.22 -

AVG 9.0.0.851 2010.09.23 -

BitDefender 7.2 2010.09.23 Trojan.Agent.AQQO

CAT-QuickHeal 11.00 2010.09.23 Win32.VirTool.VBInject.gen!DG.3

ClamAV 0.96.2.0-git 2010.09.23 -

Comodo 6172 2010.09.23 -

DrWeb 5.0.2.03300 2010.09.23 Win32.HLLW.Autoruner.28666

Emsisoft 5.0.0.37 2010.09.23 Virus.Win32.VBInject!IK

eSafe 7.0.17.0 2010.09.21 -

eTrust-Vet 36.1.7871 2010.09.22 -

F-Prot 4.6.2.117 2010.09.22 -

F-Secure 9.0.15370.0 2010.09.23 Trojan.Agent.AQQO

Fortinet 4.1.143.0 2010.09.23 -

GData 21 2010.09.23 Trojan.Agent.AQQO

Ikarus T3.1.1.88.0 2010.09.23 Virus.Win32.VBInject

Jiangmin 13.0.900 2010.09.21 -

K7AntiVirus 9.63.2582 2010.09.22 -

Kaspersky 7.0.0.125 2010.09.23 -

McAfee 5.400.0.1158 2010.09.23 -

McAfee-GW-Edition 2010.1C 2010.09.23 Artemis!6B0ED6A5BC8F

Microsoft 1.6201 2010.09.23 -

NOD32 5471 2010.09.22 a variant of Win32/Injector.DAN

Norman 6.06.06 2010.09.22 -

nProtect 2010-09-23.01 2010.09.23 Trojan.Agent.AQQO

Panda 10.0.2.7 2010.09.22 -

PCTools 7.0.3.5 2010.09.23 Email-Worm.Rontokbro

Prevx 3.0 2010.09.23 High Risk Cloaked Malware

Rising 22.66.00.07 2010.09.21 -

Sophos 4.57.0 2010.09.23 Mal/SillyFDC-G

Sunbelt 6914 2010.09.23 -

SUPERAntiSpyware 4.40.0.1006 2010.09.23 -

Symantec 20101.1.1.7 2010.09.23 W32.Rontokbro@mm

TheHacker 6.7.0.0.029 2010.09.23 -

TrendMicro 9.120.0.1004 2010.09.23 -

TrendMicro-HouseCall 9.120.0.1004 2010.09.23 -

VBA32 3.12.14.1 2010.09.22 -

ViRobot 2010.9.23.4057 2010.09.23 -

VirusBuster 12.65.20.1 2010.09.22 -

Additional informationShow all

MD5 : 6b0ed6a5bc8ff90f1dc5226803c7cf2b

SHA1 : da0c58585bd41bb7658d8b0970f20dbbfe35d849



File size : 167992 bytes



lo entramos en cola de monitorización y tras ver lo que hace, modifica y crea, implementaremos su control y eliminacion en el ELISTARA 21.68 de hoy, que estará disponible a partir de las 19 horas.



saludos



ms, 23-9-2010

[msc hotline sat]

Recibidas las muestras correspondientes a otros ficheros RAIDXPER*.* no han resultado ser viricas:



File name: RAIDXpert.exe

Submission date: 2010-09-23 08:48:06 (UTC)

Current status: finished

Result: 0 /43 (0.0%)





copyright....: Copyright (C) 2008-2009

product......: AMD RAIDXper

description..: AMD RAIDXper

original name: RAIDXper.exe

internal name: RAIDXper

file version.: 2, 4, 1540, 25



por lo cual nada que hacer con ellas.



Siga las indicaciones del post anterior, gracias



saludos



ms, 23-9-2010