adware persistente

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
buitre
Mensajes: 134
Registrado: 06 Jul 2005, 02:49
Ubicación: mexico
Contactar:
Contactar buitre

adware persistente

Mensaje por buitre » 16 Oct 2010, 07:17

Hola a todos.



Mi problema es el siguiente:

Hace unos días mi ordenador empezo a redireccionar las paginas a las que daba click en los resultados de busqueda de google a sitios de publicidad y trataba de forzarme a descargar un fakeAV, a lo que me neg[b][i]u[/i][/b]é, pero fue muy persistente.



Cheque el msconfig y el regedit y no encontre nada sospechoso, verifique los archivos de host y tampoco, trate de bloquear el sitio de redirección a traves de los host, pero me daba acceso denegado (sigo sin entender como spybot si puede modificarlos y yo mismo ejecutandolo como admin no puedo), pase el AVG, el malwarebytes, spybot, (actualizados todos), mi firewall es zonealarm.



No me considero un usuario nuevo en esto, así que descarto cualquier descarga sospechosa, ó malware de mensajería instantanea, se muy bien lo que descargo y de donde lo hago, me parece muy extraño, también verifique mi log de hijackthis borre algunas claves sospechosas, pero el problema persistía, busque en internet casos sobre esa web (la de la redirección) y encontre que un usuario de igual manera, fracaso en todos sus intentos, spybot, adaware, kaspersky, ... pero logró al final desinfectarse con dr.web cureit, así que lo descargue, lo actualice y el problema se solucionó, pero apenas pasaron dos días y hoy me vuelve a redireccionar el navegador a ese mismo sitio obligandome a descargar un fakeAV.





aquí les dejo mi log de hijackthis por sí encuentran algo sospechoso.


[list]
  • Logfile of Trend Micro HijackThis v2.0.2

    Scan saved at 12:08:05 a.m., on 16/10/2010

    Platform: Windows Vista SP2 (WinNT 6.00.1906)

    MSIE: Internet Explorer v8.00 (8.00.6001.18975)

    Boot mode: Normal



    Running processes:

    C:\Windows\system32\Dwm.exe

    C:\Windows\Explorer.EXE

    C:\Windows\system32\taskeng.exe

    C:\Windows\System32\mobsync.exe

    C:\hp\support\hpsysdrv.exe

    C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

    C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

    C:\WINDOWS\RtHDVCpl.exe

    C:\WINDOWS\System32\hkcmd.exe

    C:\WINDOWS\System32\igfxpers.exe

    C:\Program Files\Common Files\Real\Update_OB\realsched.exe

    C:\Windows\system32\igfxsrvc.exe

    C:\Program Files\AVG\AVG9\avgtray.exe

    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    C:\WINDOWS\ehome\ehtray.exe

    C:\Program Files\Windows Media Player\wmpnscfg.exe

    C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe

    C:\Users\Public\Documents\Windows\winhelp.exe

    C:\Program Files\CheckPoint\ZAForceField\ForceField.exe

    C:\hp\kbd\kbd.exe

    C:\Windows\system32\wuauclt.exe

    C:\Program Files\Windows Live\Messenger\msnmsgr.exe

    C:\Windows\system32\conime.exe

    C:\Program Files\Windows Live\Contacts\wlcomm.exe

    C:\Program Files\Internet Explorer\iexplore.exe

    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

    C:\Program Files\Microsoft\Office Live\OfficeLiveSignIn.exe

    C:\Windows\system32\taskeng.exe

    C:\Dev-Cpp\devcpp.exe

    C:\Program Files\Windows Media Player\wmplayer.exe

    C:\Program Files\McAfee Security Scan\2.0.181\McUICnt.exe

    C:\Windows\system32\NOTEPAD.EXE

    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe



    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

    O1 - Hosts: ::1 localhost

    O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll

    O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll

    O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

    O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll

    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

    O2 - BHO: Microsoft Web Test Recorder 9.0 Helper - {E31CE47F-C268-41ba-897B-B415E613947D} - C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO90.dll

    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

    O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll

    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

    O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe

    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE

    O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"

    O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

    O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode

    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe

    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

    O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICIO LOCAL')

    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICIO LOCAL')

    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Servicio de red')

    O4 - User Startup: winhelp.exe

    O4 - Global Startup: McAfee Security Scan Plus.lnk = ?

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

    O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

    O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

    O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

    O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O13 - Gopher Prefix:

    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll

    O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

    O20 - AppInit_DLLs: avgrsstx.dll

    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

    O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe

    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

    O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

    O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe

    O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

    O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe

    O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe

    O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe

    O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe

    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

    O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe

    O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe

    O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe

    O23 - Service: npkcmsvc - Unknown owner - C:\Nexon\MapleStory\npkcmsvc.exe (file missing)

    O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe

    O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

    O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

    O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\System32\ZoneLabs\vsmon.exe

    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe



    --

    End of file - 12300 bytes

    • [/list]
    cabe acalarar que también utilice el CCleaner, y nada funcionó, el unico que soluciono temporalmente el problema fue el dr web cureit.



    Otro sintoma es que cuando abro el iexplorer se cierra, apenas se acarga la ventana e inmediatamente se cierra, tengo que darle click varias veces para que me abra la ventana (a veces me da error de proceso).



    Este es un malware muy extraño, demasiado duro de matar.

    Muchas gracias de antemano.



    Saludos :D
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 16 Oct 2010, 08:50

    Pues aunque no damos soporte a sistemas windows VISTA, hemos mirado el log y no aparecen entrada víricas actualmente, posiblemente el cureit las corrigió.



    Si vuelve a pasarle, y lo corrige de nuevo con el cureit, indiquenos el fichero que detecta y elimina, y el nombre del malware que detecta. Buscaremos información al respecto.



    Y una vez hecho esto, si le vuelve a pasar, antes de eliminarlo, envienos muestra del mismo y asi podremos analizarlo e implementar su control y eliminacion en nuestras utilidades.



    Sobre como puede entrarle, no hace falta que haya sido por ningun fichero recibido por mail ni ejecutando ficheros descargados, sino simplemente por navegarm entrando en webs aparentemente normales, es como intrusionan algunos Fake Alerts, apareciendo un escaneo y diciendo que se detectan virus y ofreciendo alternativas, ante lo cual DEBE APAGARSE WINDOWS Y CERRAR EL EQUIPO !!! si se pulsa en cualquier opción lo mas normal es que se descargue un malware y provoque lo que le está pasando.



    Bueno, con lo indicado espero que podremos ayudarle si le pasa de nuevo, pero no haga nada de lo que ha hecho pasando otras utilidades ni modificando el registro, asi nos dificultaría la investigación al respecto.



    saludos



    ms, 16-10-2010





    NOTA: y recuerda https://foros.zonavirus.com/viewtopic.php?f=13&t=29543
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 17 Oct 2010, 04:08

    Volví a pasar el dr web CureIt y esta vez no detectó nada, :( , el problema persiste, me redireccionan a sitios extraños de publicidad regularmente el iexplore los detecta y pone la pantalla roja y me da un aviso de que es un sitio no seguro, pero en cuanto sucede eso se traba y no responde el iexplore, doy clicks y aparentemente los botones reaccionan a los clicks, pero los ignoran, esto me ha pasado ultimadamente en el iexplore los clicks a enlaces no funcionan, o cuando abrir el iexplore debo de dar varios clicks para se ejecute, parece que algo forza a cerrar la aplicación.





    Tengo un screen Shot del primer analisis de drweb, donde aparentemente reparó el problema temporalmente.

    [url]http://a.yfrog.com/img440/35/trojanp.jpg[/url]

    Recuerdo tomar el Screen shot porque me pareció curioso que detectara como malware archivos que efectivamente eran mp3, y no eran extensiones encimadas, ni un cambio de icono, no pareciá un binder ni nada por el estilo, realmente eran mp3 y las encontró dentro mi carpeta de descargas del ARES, y eran nombres de canciónes que yo jamás hubiera buscado, aparte de que parece que estaban desde el 2009 en mi ordenador.

    El drweb, solo detecto puros "troyanos" de ese tipo ".mp3" y fue todo lo que borró eso día, donde aparentemente se arregló el problema.


    [list]
  • (16-10-2010 22:19:01 GMT)

    SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

    -------------------------------------------

    Sistema Operativo: Windows Vista (TM) Home Premium (v6.0.6002)

    Parche MS08-067 (Servicio Servidor) NO Instalado.

    Internet Explorer: (v8.0.6001.18975) 0



    Procesos Activos:

    C:\WINDOWS\SYSTEM32\DWM.EXE

    C:\WINDOWS\EXPLORER.EXE

    C:\WINDOWS\SYSTEM32\TASKENG.EXE

    C:\HP\SUPPORT\HPSYSDRV.EXE

    C:\PROGRAM FILES\HEWLETT-PACKARD\ON-SCREEN OSD INDICATOR\OSD.EXE

    C:\PROGRAM FILES\INTEL\INTEL MATRIX STORAGE MANAGER\IAANOTIF.EXE

    C:\WINDOWS\RTHDVCPL.EXE

    C:\WINDOWS\SYSTEM32\HKCMD.EXE

    C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

    C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE

    C:\PROGRAM FILES\AVG\AVG9\AVGTRAY.EXE

    C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

    C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

    C:\WINDOWS\EHOME\EHTRAY.EXE

    C:\PROGRAM FILES\MCAFEE SECURITY SCAN\2.0.181\SSSCHEDULER.EXE

    C:\USERS\PUBLIC\DOCUMENTS\WINDOWS\WINHELP.EXE

    C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

    C:\WINDOWS\EHOME\EHMSAS.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IELOWUTIL.EXE

    C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNSCFG.EXE

    C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE

    C:\PROGRAM FILES\CHECKPOINT\ZAFORCEFIELD\FORCEFIELD.EXE

    C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

    C:\HP\KBD\KBD.EXE

    C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

    C:\WINDOWS\SYSTEM32\CONIME.EXE

    C:\PROGRAM FILES\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    C:\PROGRAM FILES\GOOGLE\GOOGLE TOOLBAR\GOOGLETOOLBARUSER_32.EXE

    C:\WINDOWS\SYSTEM32\MACROMED\FLASH\FLASHUTIL10E.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPLAYER.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    C:\WINDOWS\SYSTEM32\SEARCHFILTERHOST.EXE

    C:\WINDOWS\SYSTEM32\TASKENG.EXE

    C:\USERS\BLUE\DESKTOP\SPROCES.EXE



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local (0)

    R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,

    O1 - Hosts: 127.0.0.1 localhost

    O1 - Hosts: ::1 localhost

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

    O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll

    O2 - BHO: Windows Live Family Safety Browser Helper Class - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll

    O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

    O2 - BHO: Skype add-on for Internet Explorer - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll

    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

    O2 - BHO: Microsoft Web Test Recorder 9.0 Helper - {E31CE47F-C268-41ba-897B-B415E613947D} - C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO90.dll

    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

    O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll

    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

    O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe

    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE

    O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"

    O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

    O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode

    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe

    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

    O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"

    O4 - Global Startup: McAfee Security Scan Plus.lnk = C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

    O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

    O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

    O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NLAAPI.DLL

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NAPINSP.DLL

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\PNRPNSP.DLL

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\PNRPNSP.DLL

    O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\BONJOUR\MDNSNSP.DLL

    O13 - Gopher Prefix: NULL2

    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

    O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

    O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

    O18 - Protocol hijack: about - (no CLSID) - (no file)

    O18 - Protocol hijack: dvd - (no CLSID) - (no file)

    O18 - Protocol hijack: its - (no CLSID) - (no file)

    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

    O18 - Protocol hijack: mhtml - (no CLSID) - (no file)

    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

    O18 - Protocol hijack: ms-its - (no CLSID) - (no file)

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

    O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

    O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

    O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

    O18 - Protocol hijack: tv - (no CLSID) - (no file)

    O18 - Protocol hijack: vbscript - (no CLSID) - (no file)

    O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

    O20 - AppInit_DLLs: avgrsstx.dll

    O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

    O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



    Información Adicional:

    ----------------------

    URLSearchHook(HKLM): (no name) - {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - (no file)

    Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

    "Debugger"="NULL1"

    WinSys\Drivers\adp94xx.sys (de 420968 bytes) () Adaptec, Inc.

    WinSys\Drivers\dxgkrnl.sys (de 634880 bytes) () Microsoft Corporation

    WinSys\Drivers\hdaudbus.sys (de 561152 bytes) () Microsoft Corporation

    WinSys\Drivers\HSX_CNXT.sys (de 661504 bytes) () Conexant Systems, Inc.

    WinSys\Drivers\HSX_DP.sys (de 980992 bytes) () Conexant Systems, Inc.

    WinSys\Drivers\http.sys (de 411648 bytes) () Microsoft Corporation

    WinSys\Drivers\ksecdd.sys (de 439864 bytes) () Microsoft Corporation

    WinSys\Drivers\ndis.sys (de 527848 bytes) () Microsoft Corporation

    WinSys\Drivers\netr73.sys (de 493568 bytes) () Ralink Technology, Corp.

    WinSys\Drivers\PEAuth.sys (de 878080 bytes) () Microsoft Corporation

    WinSys\Drivers\ql2300.sys (de 900712 bytes) () QLogic Corporation

    WinSys\Drivers\spsys.sys (de 684032 bytes) () Microsoft Corporation

    WinSys\Drivers\tcpip.sys (de 912776 bytes) () Microsoft Corporation

    WinSys\Drivers\vsdatant.sys (de 457304 bytes) () Check Point Software Technologies LTD

    WinSys\Drivers\Wdf01000.sys (de 503864 bytes) () Microsoft Corporation



    Listado de Servicios (Carga Automatica):

    ----------------------------------------

    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

    O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe

    O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

    O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe

    O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

    O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe

    O23 - Service: ZoneAlarm Toolbar ISWKL (ISWKL) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys

    O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe

    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

    O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

    O23 - Service: npkcmsvc - Unknown owner - C:\Nexon\MapleStory\npkcmsvc.exe (file missing)

    O23 - Service: npkcrypt - Unknown owner - C:\Nexon\MapleStory\npkcrypt.sys (file missing)

    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

    *O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\System32\ZoneLabs\vsmon.exe

    O23 - Service: XAudio - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\xaudio.sys

    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe



    Listado de Servicios (Carga Manual):

    ------------------------------------

    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

    O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe

    O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

    O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltlo.sys

    O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltup.sys

    O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbser.sys

    O23 - Service: CamSuite Virtual Audio (CamSuiteVAC) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\CamSuiteVAC.sys

    O23 - Service: Controlador de adaptador Intel(R) PRO (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

    O23 - Service: Intel(R) PRO/1000 NDIS 6 Adapter Driver (E1G60) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\E1G60I32.sys

    O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

    O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_DP.sys

    O23 - Service: HSXHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSXHWBS2.sys

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: igfx - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd32.sys

    O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RTKVHDA.sys

    O23 - Service: IP in IP Tunnel Driver (IpInIp) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipinip.sys (file missing)

    O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe

    O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Mediabolic - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe

    O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe

    O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe

    O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

    O23 - Service: McAfee Inc. mfebopk (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

    O23 - Service: McAfee Inc. mferkdk (mferkdk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdk.sys

    O23 - Service: McAfee Inc. mfesmfk (mfesmfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfesmfk.sys

    O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\WINDOWS\system32\msiexec /V (file missing)

    O23 - Service: USB Wireless 802.11 b/g Adaptor Driver for Vista (netr73) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\netr73.sys

    O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

    O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

    O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

    O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys

    O23 - Service: npkcusb - Unknown owner - C:\Nexon\MapleStory\npkcusb.sys (file missing)

    O23 - Service: IPX Traffic Filter Driver (NwlnkFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkflt.sys (file missing)

    O23 - Service: IPX Traffic Forwarder Driver (NwlnkFwd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkfwd.sys (file missing)

    O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

    O23 - Service: PS2 (Ps2) - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\DRIVERS\PS2.sys

    O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe

    O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

    O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

    O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

    O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

    O23 - Service: USB Web Camera (USBZC0301) - ZSMC - C:\WINDOWS\SYSTEM32\Drivers\usbcam.sys

    O23 - Service: VirtualBox Host-Only Ethernet Adapter (VBoxNetAdp) - Oracle Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VBoxNetAdp.sys

    O23 - Service: VBoxNetFlt Service (VBoxNetFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\VBoxNetFlt.sys (file missing)

    O23 - Service: vsdatant7 - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\vsdatant.win7.sys (file missing)

    O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_CNXT.sys

    O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)



    Listado de Servicios (Deshabilitados):

    --------------------------------------

    O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adp94xx.sys

    O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpahci.sys

    O23 - Service: adpu160m - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu160m.sys

    O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu320.sys

    O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\djsvs.sys

    O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

    O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arc.sys

    O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arcsas.sys

    O23 - Service: blbdrive - Unknown owner - C:\WINDOWS\system32\drivers\blbdrive.sys (file missing)

    O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserid.sys

    O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserwdm.sys

    O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbmdm.sys

    O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

    O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\drivers\elxstor.sys

    O23 - Service: HpCISSs - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\hpcisss.sys

    O23 - Service: Intel RAID Controller Vista (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iastorv.sys

    O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\drivers\iirsp.sys

    O23 - Service: ITEATAPI_Service_Install (iteatapi) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteatapi.sys

    O23 - Service: ITERAID_Service_Install (iteraid) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteraid.sys

    O23 - Service: LSI_FC - LSI Logic - C:\WINDOWS\system32\drivers\lsi_fc.sys

    O23 - Service: LSI_SAS - LSI Logic - C:\WINDOWS\system32\drivers\lsi_sas.sys

    O23 - Service: LSI_SCSI - LSI Logic - C:\WINDOWS\system32\drivers\lsi_scsi.sys

    O23 - Service: megasas - LSI Logic Corporation - C:\WINDOWS\system32\drivers\megasas.sys

    O23 - Service: Mraid35x - LSI Logic Corporation - C:\WINDOWS\system32\drivers\mraid35x.sys

    O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\drivers\nfrd960.sys

    O23 - Service: N-trig HID Tablet Driver (ntrigdigi) - N-trig Innovative Technologies - C:\WINDOWS\system32\drivers\ntrigdigi.sys

    O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

    O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

    O23 - Service: QLogic Fibre Channel Miniport Driver (ql2300) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql2300.sys

    O23 - Service: QLogic iSCSI Miniport Driver (ql40xx) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql40xx.sys

    O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\drivers\sisraid2.sys

    O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\drivers\sisraid4.sys

    O23 - Service: Symc8xx - LSI Logic - C:\WINDOWS\system32\drivers\symc8xx.sys

    O23 - Service: Sym_hi - LSI Logic - C:\WINDOWS\system32\drivers\sym_hi.sys

    O23 - Service: Sym_u3 - LSI Logic - C:\WINDOWS\system32\drivers\sym_u3.sys

    O23 - Service: uliahci - ULi Electronics Inc. - C:\WINDOWS\system32\drivers\uliahci.sys

    O23 - Service: UlSata - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata.sys

    O23 - Service: ulsata2 - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata2.sys

    O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

    O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\drivers\vsmraid.sys



    107 Servicios.

    18 de Carga Automatica.

    49 de Carga Manual.

    40 Deshabilitados.

    • [/list]

    Por cierto, ahora que recuerdo, ultimamente se ha ejecutado mucho un proceso, el tal javaws.exe que se encuentra en la carpeta de Java, yo no suelo entrar a sitios web que requieran de javascript (me refiero a cuando se ejecuta el icono de java en la esquina inferior derecha), no suelo hacerlo, ni lo he hecho, pero yo conosco mis procesos comunes, y ese nunca aparecia, lo envié a virustotal y no detectaron nada, también en la misma carpeta estaba un javaw.exe, igual lo envié y salio inocente.

    Pero tengo memoria de que al principio, cuando se redireccionaban a sitios spam y el iexplore no se cerraba, al matar el proceso javaws.exe ya podía cerrar el iexplore, y recuerdo haber visto un proceso que el archivo eran puros numeros como (356401100.exe) y que al ver la lista de procesos del taskmgr desapareció el proceso, antes de que yo pudiera notar de donde era ó abrir su ubicación.



    Por sí acaso, aún así parece ser que el malware no quiere seder.



    Saludos y gracias :D
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 17 Oct 2010, 08:47

    Pues cabe tener en cuenta que falta instalar el MS08-067, y sin este puede entrar el Conficker, a pesar del antivirus.



    Parche MS08-067 (Servicio Servidor) NO Instalado.





    lanzar un windowsupdate e instalar los que encuentre pendientes,





    Sobre lo que dice de "las encontró dentro mi carpeta de descargas del ARES, y eran nombres de canciónes que yo jamás hubiera buscado" resulta que cuando se busca un fichero con un P2P, (pasa mucho con el eMule), encuentra ficheros con el nombre buscado pero malwares, aparte de los que haya buenos, es una manera de introduccion de troyanos muy conocida.



    y mire si encuentra este fichero sospechoso:



    C:\WINDOWS\system32\drivers\blbdrive.sys



    pruebelo con el ELIMOVER, si no lo encuentra con atributo de oculto:



    ELIMOVER

    http://www.zonavirus.com/descargas/elimover.asp





    y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware



    y para enviarlo:



    [b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

    https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



    Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



    Y sobre este 356401100.exe que menciona, mire si con un Inicio -> Buscar -> en todos los archivos y carpetas, lo encuentra, y en tal caso nos lo envía tambien.



    Y por último, descargue el ELISTARA y despues lo lanza, y acepte cuando pregunte si quiere eliminar la página de inicio, y al final del proceso, le pedirá cual quiere poner, se la indica, a ver si asi se soluciona el problema al respecto


    [quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



    Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



    saludos



    ms, 17-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 17 Oct 2010, 11:22

    ELIMOVER dice que no existe tal fichero sospechoso, por lo visto no lo tengo.



    El ELISTARA no se que tiene, desde que tengo este ordenador con vista (hace aproximadamente 2 años y medio no he podido utilizarlo nunca, sobreviví con puro HJT y SPYBOT, simplemente se traba, ni si quiera me salen las solicitudes a borrar página de inicio, antes de eso ya sale "no responde"), siempre se me traba es algo raro.



    Ya lanze el windows update, pero tengo que reiniciar, cuando reinicie les contaré si se soluciono el problema.





    Muchas gracias, Saludos
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 17 Oct 2010, 13:51

    Pues mira el primer Tema de este apartado ...



    https://foros.zonavirus.com/viewtopic.php?f=5&t=32402



    saludos



    ms, 17-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 18 Oct 2010, 20:07

    Ya segui las instrucciones para ejecutar el ELISTARA y nada funcionó, en cuanto sale "restaurando el registro del sistema" o algo por el estilo se traba... se queda ahí y ya no avanza, ya lo ejecute como admin, y ya lo ejecute como admin desde modo seguro con funciones de red,.. pasa lo mismo, probe varias veces...





    Ya se instalaron todas las actualizaciones, pero al parecer esto esta un poco peor, cada vez es más exigente el FakeAV.

    e igual, cada vez funcionan menos mis clicks en el iexplore, es como si los desahibilitaran, insinsto en que el javaws.exe gusta de aparecer varias veces al día, generalmente cuando menos funcionan mis clicks, y una vez que lo finalizo inmediatamente funcionan los clicks (pero siguen apareciendo las fakeAlerts y las redirecciones a sitios de SPAM).



    Ahora recuerdo que la primera vez que fuí redireccionado a una web donde el iexplore se puso rojo y me dijo que era un sitio peligroso,justo en ese instante javaws.exe trato de tener acceso a la web, zonealarm me dio el aviso y estaba marcado en semaforo rojo, que me recomendaban denegarle el acceso y darle en "recordar esta opción", y así lo hice, después volvió a solicitar acceso a internet, pero esta vez estaba marcado como verde, el zalarm me recomendaba darle acceso, pero igual se lo denegé.



    :shock: parece que se acaban las opciones..





    Gracias y Saludos

    + :shock:





    Edito:



    Mi nuevo log del SPROCES sigue diciendo que no tengo el parche instalado, lanze windows update y dice que no hay actualizaciones disponibles...,


    [list]
  • (18-10-2010 18:20:17 GMT)

    SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

    -------------------------------------------

    Sistema Operativo: Windows Vista (TM) Home Premium (v6.0.6002)

    Parche MS08-067 (Servicio Servidor) NO Instalado.

    Internet Explorer: (v8.0.6001.18975) 0



    Procesos Activos:

    C:\WINDOWS\SYSTEM32\TASKENG.EXE

    C:\WINDOWS\SYSTEM32\DWM.EXE

    C:\WINDOWS\EXPLORER.EXE

    C:\HP\SUPPORT\HPSYSDRV.EXE

    C:\PROGRAM FILES\HEWLETT-PACKARD\ON-SCREEN OSD INDICATOR\OSD.EXE

    C:\PROGRAM FILES\INTEL\INTEL MATRIX STORAGE MANAGER\IAANOTIF.EXE

    C:\WINDOWS\RTHDVCPL.EXE

    C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE

    C:\PROGRAM FILES\AVG\AVG9\AVGTRAY.EXE

    C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

    C:\WINDOWS\SYSTEM32\HKCMD.EXE

    C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

    C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNSCFG.EXE

    C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

    C:\WINDOWS\EHOME\EHTRAY.EXE

    C:\PROGRAM FILES\MCAFEE SECURITY SCAN\2.0.181\SSSCHEDULER.EXE

    C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

    C:\WINDOWS\EHOME\EHMSAS.EXE

    C:\PROGRAM FILES\CHECKPOINT\ZAFORCEFIELD\FORCEFIELD.EXE

    C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

    C:\HP\KBD\KBD.EXE

    C:\WINDOWS\SYSTEM32\CONIME.EXE

    C:\PROGRAM FILES\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    C:\PROGRAM FILES\GOOGLE\GOOGLE TOOLBAR\GOOGLETOOLBARUSER_32.EXE

    C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPLAYER.EXE

    C:\WINDOWS\SYSTEM32\MACROMED\FLASH\FLASHUTIL10E.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    C:\WINDOWS\SYSTEM32\TASKENG.EXE

    C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

    C:\WINDOWS\SYSTEM32\SEARCHFILTERHOST.EXE

    C:\USERS\BLUE\DESKTOP\SPROCES.EXE



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local (0)

    R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,

    O1 - Hosts: 127.0.0.1 localhost

    O1 - Hosts: ::1 localhost

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

    O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll

    O2 - BHO: Windows Live Family Safety Browser Helper Class - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll

    O2 - BHO: Aplicación auxiliar de inicio de sesión de Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

    O2 - BHO: Skype add-on for Internet Explorer - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll

    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

    O2 - BHO: Microsoft Web Test Recorder 9.0 Helper - {E31CE47F-C268-41ba-897B-B415E613947D} - C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO90.dll

    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

    O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll

    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

    O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe

    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE

    O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"

    O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

    O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode

    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe

    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

    O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"

    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

    O4 - Global Startup: McAfee Security Scan Plus.lnk = C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

    O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

    O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

    O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NLAAPI.DLL

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NAPINSP.DLL

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\PNRPNSP.DLL

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\PNRPNSP.DLL

    O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\BONJOUR\MDNSNSP.DLL

    O13 - Gopher Prefix: NULL2

    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

    O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

    O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

    O18 - Protocol hijack: about - (no CLSID) - (no file)

    O18 - Protocol hijack: dvd - (no CLSID) - (no file)

    O18 - Protocol hijack: its - (no CLSID) - (no file)

    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

    O18 - Protocol hijack: mhtml - (no CLSID) - (no file)

    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

    O18 - Protocol hijack: ms-its - (no CLSID) - (no file)

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

    O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

    O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

    O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

    O18 - Protocol hijack: tv - (no CLSID) - (no file)

    O18 - Protocol hijack: vbscript - (no CLSID) - (no file)

    O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

    O20 - AppInit_DLLs: avgrsstx.dll

    O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

    O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



    Información Adicional:

    ----------------------

    URLSearchHook(HKLM): (no name) - {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - (no file)

    Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

    "Debugger"="NULL1"

    WinSys\Drivers\adp94xx.sys (de 420968 bytes) () Adaptec, Inc.

    WinSys\Drivers\dxgkrnl.sys (de 634880 bytes) () Microsoft Corporation

    WinSys\Drivers\hdaudbus.sys (de 561152 bytes) () Microsoft Corporation

    WinSys\Drivers\HSX_CNXT.sys (de 661504 bytes) () Conexant Systems, Inc.

    WinSys\Drivers\HSX_DP.sys (de 980992 bytes) () Conexant Systems, Inc.

    WinSys\Drivers\http.sys (de 411648 bytes) () Microsoft Corporation

    WinSys\Drivers\ksecdd.sys (de 439864 bytes) () Microsoft Corporation

    WinSys\Drivers\ndis.sys (de 527848 bytes) () Microsoft Corporation

    WinSys\Drivers\netr73.sys (de 493568 bytes) () Ralink Technology, Corp.

    WinSys\Drivers\PEAuth.sys (de 878080 bytes) () Microsoft Corporation

    WinSys\Drivers\ql2300.sys (de 900712 bytes) () QLogic Corporation

    WinSys\Drivers\spsys.sys (de 684032 bytes) () Microsoft Corporation

    WinSys\Drivers\tcpip.sys (de 912776 bytes) () Microsoft Corporation

    WinSys\Drivers\vsdatant.sys (de 457304 bytes) () Check Point Software Technologies LTD

    WinSys\Drivers\Wdf01000.sys (de 503864 bytes) () Microsoft Corporation



    Listado de Servicios (Carga Automatica):

    ----------------------------------------

    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

    O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe

    O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

    O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe

    O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

    O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe

    O23 - Service: ZoneAlarm Toolbar ISWKL (ISWKL) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys

    O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe

    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

    O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

    O23 - Service: npkcmsvc - Unknown owner - C:\Nexon\MapleStory\npkcmsvc.exe (file missing)

    O23 - Service: npkcrypt - Unknown owner - C:\Nexon\MapleStory\npkcrypt.sys (file missing)

    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

    *O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\System32\ZoneLabs\vsmon.exe

    O23 - Service: XAudio - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\xaudio.sys

    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe



    Listado de Servicios (Carga Manual):

    ------------------------------------

    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

    O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe

    O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

    O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltlo.sys

    O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltup.sys

    O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbser.sys

    O23 - Service: CamSuite Virtual Audio (CamSuiteVAC) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\CamSuiteVAC.sys

    O23 - Service: Controlador de adaptador Intel(R) PRO (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

    O23 - Service: Intel(R) PRO/1000 NDIS 6 Adapter Driver (E1G60) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\E1G60I32.sys

    O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

    O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_DP.sys

    O23 - Service: HSXHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSXHWBS2.sys

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: igfx - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd32.sys

    O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RTKVHDA.sys

    O23 - Service: IP in IP Tunnel Driver (IpInIp) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipinip.sys (file missing)

    O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe

    O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Mediabolic - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe

    O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe

    O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe

    O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

    O23 - Service: McAfee Inc. mfebopk (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

    O23 - Service: McAfee Inc. mferkdk (mferkdk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdk.sys

    O23 - Service: McAfee Inc. mfesmfk (mfesmfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfesmfk.sys

    O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\WINDOWS\system32\msiexec /V (file missing)

    O23 - Service: USB Wireless 802.11 b/g Adaptor Driver for Vista (netr73) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\netr73.sys

    O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

    O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

    O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

    O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys

    O23 - Service: npkcusb - Unknown owner - C:\Nexon\MapleStory\npkcusb.sys (file missing)

    O23 - Service: IPX Traffic Filter Driver (NwlnkFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkflt.sys (file missing)

    O23 - Service: IPX Traffic Forwarder Driver (NwlnkFwd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkfwd.sys (file missing)

    O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

    O23 - Service: PS2 (Ps2) - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\DRIVERS\PS2.sys

    O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe

    O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

    O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

    O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

    O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

    O23 - Service: USB Web Camera (USBZC0301) - ZSMC - C:\WINDOWS\SYSTEM32\Drivers\usbcam.sys

    O23 - Service: VirtualBox Host-Only Ethernet Adapter (VBoxNetAdp) - Oracle Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VBoxNetAdp.sys

    O23 - Service: VBoxNetFlt Service (VBoxNetFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\VBoxNetFlt.sys (file missing)

    O23 - Service: vsdatant7 - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\vsdatant.win7.sys (file missing)

    O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_CNXT.sys

    O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)



    Listado de Servicios (Deshabilitados):

    --------------------------------------

    O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adp94xx.sys

    O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpahci.sys

    O23 - Service: adpu160m - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu160m.sys

    O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu320.sys

    O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\djsvs.sys

    O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

    O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arc.sys

    O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arcsas.sys

    O23 - Service: blbdrive - Unknown owner - C:\WINDOWS\system32\drivers\blbdrive.sys (file missing)

    O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserid.sys

    O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserwdm.sys

    O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbmdm.sys

    O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

    O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\drivers\elxstor.sys

    O23 - Service: HpCISSs - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\hpcisss.sys

    O23 - Service: Intel RAID Controller Vista (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iastorv.sys

    O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\drivers\iirsp.sys

    O23 - Service: ITEATAPI_Service_Install (iteatapi) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteatapi.sys

    O23 - Service: ITERAID_Service_Install (iteraid) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteraid.sys

    O23 - Service: LSI_FC - LSI Logic - C:\WINDOWS\system32\drivers\lsi_fc.sys

    O23 - Service: LSI_SAS - LSI Logic - C:\WINDOWS\system32\drivers\lsi_sas.sys

    O23 - Service: LSI_SCSI - LSI Logic - C:\WINDOWS\system32\drivers\lsi_scsi.sys

    O23 - Service: megasas - LSI Logic Corporation - C:\WINDOWS\system32\drivers\megasas.sys

    O23 - Service: Mraid35x - LSI Logic Corporation - C:\WINDOWS\system32\drivers\mraid35x.sys

    O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\drivers\nfrd960.sys

    O23 - Service: N-trig HID Tablet Driver (ntrigdigi) - N-trig Innovative Technologies - C:\WINDOWS\system32\drivers\ntrigdigi.sys

    O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

    O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

    O23 - Service: QLogic Fibre Channel Miniport Driver (ql2300) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql2300.sys

    O23 - Service: QLogic iSCSI Miniport Driver (ql40xx) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql40xx.sys

    O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\drivers\sisraid2.sys

    O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\drivers\sisraid4.sys

    O23 - Service: Symc8xx - LSI Logic - C:\WINDOWS\system32\drivers\symc8xx.sys

    O23 - Service: Sym_hi - LSI Logic - C:\WINDOWS\system32\drivers\sym_hi.sys

    O23 - Service: Sym_u3 - LSI Logic - C:\WINDOWS\system32\drivers\sym_u3.sys

    O23 - Service: uliahci - ULi Electronics Inc. - C:\WINDOWS\system32\drivers\uliahci.sys

    O23 - Service: UlSata - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata.sys

    O23 - Service: ulsata2 - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata2.sys

    O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

    O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\drivers\vsmraid.sys



    107 Servicios.

    18 de Carga Automatica.

    49 de Carga Manual.

    40 Deshabilitados.

    • [/list]
    Última edición por buitre el 18 Oct 2010, 20:20, editado 1 vez en total.
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 18 Oct 2010, 20:19

    Por lo que dices al principio del post anterior, entendemos que tienes problemas en el registro de sistema y el ELISTARA va dando vueltas... Ejecutalo con la opcion de /SALTAREG y asi saltará esta revision del registro en la que se "traba".



    y este fichero javaws.exe, inicialmente no es malicioso, pero si queres envianoslo para analizar y te informaremos del resultado







    >[b]ENVIO DE MUESTRAS Y ELIMINACION DE



    CLAVES - Para ello recordar[/b]    :

    https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



    Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



    saludos



    ms, 18-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 18 Oct 2010, 20:41

    Ahora se traba en "Config escritorio e IExplore" :x



    Será una incompatibilidad con VISTA?.



    Y el SPROCESS sigue diciendo que me falta un parche, aunque WINDOWS UPDATE piensa lo contrario..





    EDITO:





    navegando en internet de nuevo se trató de redireccionar a una web, a veces son páginas de spam, otras veces me manda a una página con el fakeAV qué es difícil de cerrar, y otras a páginas que no me dejar ver el IExplore por ser peligrosas (se pone roja la pantalla y da un aviso), pero como comenté alla arriba, una la primera vez trato de iniciarce a internet el javaws.exe paralelamente con un archivo de nombre extraño.. algo así como 0.8754578.exe, pues tuve suerte y ocurrió lo mismo, solo que esta vez pude rastrear el archivo desde procesos y wala!!, estaban escondidos en %TEMP%, son dos archivos, uno cambia de nombre, y tal como lo imaginaba, el AVG al ser redireccionado a ese web detecto un xploit de obfuscación de JAVA (Es por eso que el javaws era manipulado).



    Enviaré las muestras ahora mismo, espero que este sea el verdadero malware, y no solo otro malware que se descargo como consecuencia de uno con mayor residencia..



    0.7834935409467869.exe

    0.9098263405130026.exe

    WINDOWS_SECURITY_CENTER.exe



    ¿Pues qué nombreitos son esos!!? :lol:



    Saludos
    Última edición por buitre el 19 Oct 2010, 09:02, editado 1 vez en total.
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 19 Oct 2010, 08:58

    Es que el VISTA, ni verlo !



    Pero supongo que tienes algo mas que está incordiando.



    Ya que acabas de pasar el SPROCES, posteanos nuevo log de ahora, y lo del ELISTARA, arranca en MDOO SEGURO CON SOLO SIMBOLO DE SISTEMA y pruebalo desde la carpeta que lo tengas copiado, con ELISTARA /SALTAREG <ENTER>



    y nos posteas tambien sl informe resultante, gracias



    saludos



    ms, 19-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 19 Oct 2010, 09:09

    Ya envié las muestras...



    Al querer copiar los nombres de los archivos para el ultimo post (lo edité y agregé otro mensaje, espero lo haya pillado).

    ejecute uno sin querer y ya se escondió :lol: :lol: , de todos modos ya envié los demás.



    SPROCESS
    [list]
  • (19-10-2010 07:07:46 GMT)

    SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

    -------------------------------------------

    Sistema Operativo: Windows Vista (TM) Home Premium (v6.0.6002)

    Parche MS08-067 (Servicio Servidor) NO Instalado.

    Internet Explorer: (v8.0.6001.18975) 0



    Procesos Activos:

    C:\WINDOWS\SYSTEM32\DWM.EXE

    C:\WINDOWS\EXPLORER.EXE

    C:\WINDOWS\SYSTEM32\TASKENG.EXE

    C:\HP\SUPPORT\HPSYSDRV.EXE

    C:\PROGRAM FILES\HEWLETT-PACKARD\ON-SCREEN OSD INDICATOR\OSD.EXE

    C:\PROGRAM FILES\INTEL\INTEL MATRIX STORAGE MANAGER\IAANOTIF.EXE

    C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE

    C:\PROGRAM FILES\AVG\AVG9\AVGTRAY.EXE

    C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

    C:\WINDOWS\SYSTEM32\HKCMD.EXE

    C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

    C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

    C:\WINDOWS\EHOME\EHTRAY.EXE

    C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNSCFG.EXE

    C:\PROGRAM FILES\MCAFEE SECURITY SCAN\2.0.181\SSSCHEDULER.EXE

    C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

    C:\WINDOWS\EHOME\EHMSAS.EXE

    C:\PROGRAM FILES\CHECKPOINT\ZAFORCEFIELD\FORCEFIELD.EXE

    C:\HP\KBD\KBD.EXE

    C:\WINDOWS\SYSTEM32\CONIME.EXE

    C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPLAYER.EXE

    C:\WINDOWS\SYSTEM32\TASKENG.EXE

    C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

    C:\PROGRAM FILES\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    C:\PROGRAM FILES\GOOGLE\GOOGLE TOOLBAR\GOOGLETOOLBARUSER_32.EXE

    C:\WINDOWS\SYSTEM32\MACROMED\FLASH\FLASHUTIL10E.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

    C:\WINDOWS\SYSTEM32\SEARCHFILTERHOST.EXE

    C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

    C:\USERS\BLUE\DESKTOP\SPROCES.EXE



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local (0)

    R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,

    O1 - Hosts: 127.0.0.1 localhost

    O1 - Hosts: ::1 localhost

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

    O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll

    O2 - BHO: Windows Live Family Safety Browser Helper Class - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll

    O2 - BHO: Aplicación auxiliar de inicio de sesión de Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

    O2 - BHO: Skype add-on for Internet Explorer - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll

    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

    O2 - BHO: Microsoft Web Test Recorder 9.0 Helper - {E31CE47F-C268-41ba-897B-B415E613947D} - C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO90.dll

    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

    O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll

    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

    O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe

    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE

    O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"

    O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

    O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode

    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe

    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

    O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"

    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

    O4 - Global Startup: McAfee Security Scan Plus.lnk = C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

    O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

    O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

    O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NLAAPI.DLL

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NAPINSP.DLL

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\PNRPNSP.DLL

    O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\PNRPNSP.DLL

    O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\BONJOUR\MDNSNSP.DLL

    O13 - Gopher Prefix: NULL2

    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

    O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

    O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

    O18 - Protocol hijack: about - (no CLSID) - (no file)

    O18 - Protocol hijack: dvd - (no CLSID) - (no file)

    O18 - Protocol hijack: its - (no CLSID) - (no file)

    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

    O18 - Protocol hijack: mhtml - (no CLSID) - (no file)

    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

    O18 - Protocol hijack: ms-its - (no CLSID) - (no file)

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

    O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

    O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

    O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

    O18 - Protocol hijack: tv - (no CLSID) - (no file)

    O18 - Protocol hijack: vbscript - (no CLSID) - (no file)

    O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

    O20 - AppInit_DLLs: avgrsstx.dll

    O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

    O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



    Información Adicional:

    ----------------------

    URLSearchHook(HKLM): (no name) - {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - (no file)

    Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

    "Debugger"="NULL1"

    WinSys\Drivers\adp94xx.sys (de 420968 bytes) () Adaptec, Inc.

    WinSys\Drivers\dxgkrnl.sys (de 634880 bytes) () Microsoft Corporation

    WinSys\Drivers\hdaudbus.sys (de 561152 bytes) () Microsoft Corporation

    WinSys\Drivers\HSX_CNXT.sys (de 661504 bytes) () Conexant Systems, Inc.

    WinSys\Drivers\HSX_DP.sys (de 980992 bytes) () Conexant Systems, Inc.

    WinSys\Drivers\http.sys (de 411648 bytes) () Microsoft Corporation

    WinSys\Drivers\ksecdd.sys (de 439864 bytes) () Microsoft Corporation

    WinSys\Drivers\ndis.sys (de 527848 bytes) () Microsoft Corporation

    WinSys\Drivers\netr73.sys (de 493568 bytes) () Ralink Technology, Corp.

    WinSys\Drivers\PEAuth.sys (de 878080 bytes) () Microsoft Corporation

    WinSys\Drivers\ql2300.sys (de 900712 bytes) () QLogic Corporation

    WinSys\Drivers\spsys.sys (de 684032 bytes) () Microsoft Corporation

    WinSys\Drivers\tcpip.sys (de 912776 bytes) () Microsoft Corporation

    WinSys\Drivers\vsdatant.sys (de 457304 bytes) () Check Point Software Technologies LTD

    WinSys\Drivers\Wdf01000.sys (de 503864 bytes) () Microsoft Corporation



    Listado de Servicios (Carga Automatica):

    ----------------------------------------

    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

    O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe

    O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

    O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe

    O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

    O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe

    O23 - Service: ZoneAlarm Toolbar ISWKL (ISWKL) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys

    O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe

    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

    O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

    O23 - Service: npkcmsvc - Unknown owner - C:\Nexon\MapleStory\npkcmsvc.exe (file missing)

    O23 - Service: npkcrypt - Unknown owner - C:\Nexon\MapleStory\npkcrypt.sys (file missing)

    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

    *O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\System32\ZoneLabs\vsmon.exe

    O23 - Service: XAudio - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\xaudio.sys

    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe



    Listado de Servicios (Carga Manual):

    ------------------------------------

    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

    O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe

    O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

    O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltlo.sys

    O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltup.sys

    O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbser.sys

    O23 - Service: CamSuite Virtual Audio (CamSuiteVAC) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\CamSuiteVAC.sys

    O23 - Service: Controlador de adaptador Intel(R) PRO (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

    O23 - Service: Intel(R) PRO/1000 NDIS 6 Adapter Driver (E1G60) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\E1G60I32.sys

    O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

    O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_DP.sys

    O23 - Service: HSXHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSXHWBS2.sys

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: igfx - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd32.sys

    O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RTKVHDA.sys

    O23 - Service: IP in IP Tunnel Driver (IpInIp) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipinip.sys (file missing)

    O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe

    O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Mediabolic - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe

    O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe

    O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe

    O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

    O23 - Service: McAfee Inc. mfebopk (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

    O23 - Service: McAfee Inc. mferkdk (mferkdk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdk.sys

    O23 - Service: McAfee Inc. mfesmfk (mfesmfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfesmfk.sys

    O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\WINDOWS\system32\msiexec /V (file missing)

    O23 - Service: USB Wireless 802.11 b/g Adaptor Driver for Vista (netr73) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\netr73.sys

    O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

    O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

    O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

    O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys

    O23 - Service: npkcusb - Unknown owner - C:\Nexon\MapleStory\npkcusb.sys (file missing)

    O23 - Service: IPX Traffic Filter Driver (NwlnkFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkflt.sys (file missing)

    O23 - Service: IPX Traffic Forwarder Driver (NwlnkFwd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkfwd.sys (file missing)

    O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

    O23 - Service: PS2 (Ps2) - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\DRIVERS\PS2.sys

    O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe

    O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

    O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

    O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

    O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

    O23 - Service: USB Web Camera (USBZC0301) - ZSMC - C:\WINDOWS\SYSTEM32\Drivers\usbcam.sys

    O23 - Service: VirtualBox Host-Only Ethernet Adapter (VBoxNetAdp) - Oracle Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VBoxNetAdp.sys

    O23 - Service: VBoxNetFlt Service (VBoxNetFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\VBoxNetFlt.sys (file missing)

    O23 - Service: vsdatant7 - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\vsdatant.win7.sys (file missing)

    O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_CNXT.sys

    O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)



    Listado de Servicios (Deshabilitados):

    --------------------------------------

    O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adp94xx.sys

    O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpahci.sys

    O23 - Service: adpu160m - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu160m.sys

    O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu320.sys

    O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\djsvs.sys

    O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

    O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arc.sys

    O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arcsas.sys

    O23 - Service: blbdrive - Unknown owner - C:\WINDOWS\system32\drivers\blbdrive.sys (file missing)

    O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserid.sys

    O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserwdm.sys

    O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbmdm.sys

    O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

    O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\drivers\elxstor.sys

    O23 - Service: HpCISSs - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\hpcisss.sys

    O23 - Service: Intel RAID Controller Vista (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iastorv.sys

    O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\drivers\iirsp.sys

    O23 - Service: ITEATAPI_Service_Install (iteatapi) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteatapi.sys

    O23 - Service: ITERAID_Service_Install (iteraid) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteraid.sys

    O23 - Service: LSI_FC - LSI Logic - C:\WINDOWS\system32\drivers\lsi_fc.sys

    O23 - Service: LSI_SAS - LSI Logic - C:\WINDOWS\system32\drivers\lsi_sas.sys

    O23 - Service: LSI_SCSI - LSI Logic - C:\WINDOWS\system32\drivers\lsi_scsi.sys

    O23 - Service: megasas - LSI Logic Corporation - C:\WINDOWS\system32\drivers\megasas.sys

    O23 - Service: Mraid35x - LSI Logic Corporation - C:\WINDOWS\system32\drivers\mraid35x.sys

    O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\drivers\nfrd960.sys

    O23 - Service: N-trig HID Tablet Driver (ntrigdigi) - N-trig Innovative Technologies - C:\WINDOWS\system32\drivers\ntrigdigi.sys

    O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

    O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

    O23 - Service: QLogic Fibre Channel Miniport Driver (ql2300) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql2300.sys

    O23 - Service: QLogic iSCSI Miniport Driver (ql40xx) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql40xx.sys

    O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\drivers\sisraid2.sys

    O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\drivers\sisraid4.sys

    O23 - Service: Symc8xx - LSI Logic - C:\WINDOWS\system32\drivers\symc8xx.sys

    O23 - Service: Sym_hi - LSI Logic - C:\WINDOWS\system32\drivers\sym_hi.sys

    O23 - Service: Sym_u3 - LSI Logic - C:\WINDOWS\system32\drivers\sym_u3.sys

    O23 - Service: uliahci - ULi Electronics Inc. - C:\WINDOWS\system32\drivers\uliahci.sys

    O23 - Service: UlSata - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata.sys

    O23 - Service: ulsata2 - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata2.sys

    O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

    O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\drivers\vsmraid.sys



    107 Servicios.

    18 de Carga Automatica.

    49 de Carga Manual.

    40 Deshabilitados.

    • [/list]

    Ahora mismo hago lo del ELISTRARA, vooooy!



    p.d.: ¿Vista es malo?
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 19 Oct 2010, 09:31

    Del VISTA, digamos que era un incordio, pero hasta Microsoft lo ha ya desechado y ha reconocido que fue una pesadilla, pero no se puede decir que fuera malo... solo que nació con mal pìé y anduvo cojo en su corta vida :)



    y voy a analizar el log, a ver si vemos algo al respecto del problema.



    Nada anormal a simple vista, a ver si el ELISTARA encuentra algo ...



    saludos



    ms, 19-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 19 Oct 2010, 10:10

    (4-11-2009 23:19:35 (GMT))

    EliStartPage v19.62 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2009)

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    C:\WINDOWS\SYSTEM32\SYSTEM32.EXE --> Eliminado VTesttool.C

    (19-10-2010 07:17:59 (GMT))

    EliStartPage v21.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Octubre del 2010)

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    No ha sido posible abrir IERESET.INF

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE



    (19-10-2010 07:40:32 (GMT))

    EliStartPage v21.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Octubre del 2010)

    --------------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando "C:\"

    C:\Users\Blue\Documents\LimeWire\ANTIMALWARE\INSTALL REGSEEKER.ZIP -> Install Regseeker.exe -> Detectado Trojan.PHP.Qhost.A(dr)



    Nº Total de Directorios: 35800

    Nº Total de Ficheros: 281758

    Nº de Ficheros Analizados: 53615

    Nº de Ficheros Infectados: 1

    Nº de Ficheros Limpiados: 0



    (19-10-2010 08:00:41 (GMT))

    EliStartPage v21.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Octubre del 2010)

    --------------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando "C:\"

    C:\Users\Blue\Documents\LimeWire\ANTIMALWARE\INSTALL REGSEEKER.ZIP -> Install Regseeker.exe -> Detectado Trojan.PHP.Qhost.A(dr)



    Nº Total de Directorios: 35800

    Nº Total de Ficheros: 281758

    Nº de Ficheros Analizados: 53615

    Nº de Ficheros Infectados: 1

    Nº de Ficheros Limpiados: 0







    Ese tal regseeker me parece que el spybot solía detectarlo....siempre que pasaba el spybot lo detectaba y según lo reparaba...

    Pero como nunca me dió problemas no indagé más.



    Cuando recién me infecte de este malware intenté pasar el ELISTARA y antes de trabarse me pidió que enviara una muestra (Eso fue antes de que abriera este tema, y jamás me volvió a pedir que enviara la muestra) en una carpeta que creó en %homedrive% apenas me acordé, les enviaré también esa muestra, es una librería, un DLL, y sí les es útil les enviaré también el ejecutable del fakeAV..



    Saludos.



    Y el 7 qué tal esta? :lol:
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 19 Oct 2010, 10:38

    El Windows 7 es el actual sistema operativo de microsoft, con sus ventajas por lo novedoso e inconvenientes por lo mismo :). Nosotros seguimos con el XP, y eb cuanto al IE9 incompatible con él, pues usaremos Chrome 7 u 8...



    Y hablando de lo nuestro, han entrado muestras, una es un Rogue:Win32/FakeVimes que pasaremos a controlar, y la DLL es un Toolbar, que puedes eliminar como cualquier otro, si no lo utilizas, ya que en tal caso son molestos.



    De momento al fichero packupdate107_231.exe le puedes añadir .VIR, para que no se pueda utilizar, pero lo que veremos al monitorizar es si creaba otros que vonvenga tambien controlar.



    Espero que lo podremos hacer hoy, aunque hay muchos en cola, pero de momento ya ha entrado ...



    saludos



    ms, 19-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 19 Oct 2010, 11:17

    Muchas gracias!! :D <



    Tenía otra pregunta, no se sí sea oportuna..Cuando envié las muestras la página de envios mostró mi IP..., Pero al ejecutar el CMD y dar "ipconfig" no veo que aparesca esa IP en la lista, tampoco en el netstat.. ¿Cuál es mi verdadera IP?, tengo muchas? ..







    Gracias de nuevo MSC, espero me recuerdes bién, tengo 5 años en este foro!! :lol:
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 19 Oct 2010, 13:06

    La IP que muestra el IPCONFIG es le IP privada de tu intranet, y solo si lo tienes configurado en monopuesto, te dirá la IP publica



    Y nunca coinciden la IP privada con la publica de internet, son distintos rangos.



    Te envio un privado con los datos que pides.



    saludos



    ms, 19-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 20 Oct 2010, 03:34

    Gracias!, pues ya esta, ya conteste el pv, ahora solo me queda esperar a que controlen las muestras que envié.



    Saludos :D





    EDITO:







    siempre que me redirecciona, regularmente lo hace por medio de este link:

    http://6932.35330.

    a veces cambia jump2 por jump1, no sé si les sea útil esa información.



    Saludos
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 20 Oct 2010, 09:58

    Sí, las muestras veo que en el preanalisis se detectó FAKE AV y están en cola de monitorizacion.



    Seguramente hoy pasarán a ser controladas en el ELISTARA 21.84, de lo cual informaremos



    y el link que nos das es a una web que quizas publiciten... de todas formas, lo intercepto para que nadie se pille los dedos (por si acaso)



    cabe indicar que redirige a una web de EE.UU., cuyo ISP es:



    US United States CA California Sherman Oaks 91403 34.1465 -118.4652 Level 3 Communications Internext Media Corp.



    saludos



    ms, 20-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 20 Oct 2010, 10:08

    Oye msc....



    Estoy viendo algo..., en mis procesos hay un tal winhelp.exe, reitero que conosco mis procesos y ese no estaba, cuando lo finalizo no pasa nada, si fuera algo de windows supongo notaría el cierre de alguna aplicación.



    Bien pues.. rastree el archivo y es más sospechoso aún, está en el siguiente path:

    C:\Users\Public\Documents\Windows y esta solo, generalmente si fuera algo de windows estaría en una carpeta con otros miles de archivos relacionados, pero este esta absolutamente solo, jugando trate de eliminarlo y no se dejó, finalicé el proceso e intente y no se deja, lo quise enviar a VT y me da un error de envío.





    Chequé la fecha de creación del archivo y es del 12 de este més, justo es el día en el que empezaron a aparecer las redirecciones y los fake Alerts.

    Busqué en google sobre tal proceso y aparecen algunos malwares que gustán usar ese nombre por ingenieria social, pero no puedo acceder a dichos enlaces ya que inmediatamente soy redireccionado.

    Mi IExplorer esta cada véz peor, ahora estoy en chrome, el iexplore ya no se ejecuta, se cierra solo, no me responden los clicks, se desconfiguran los botones y los colores, se hace inivisble el formulario, esta fatal el iexplore, parece un enfermo en face terminal.



    Y sobre el winhelp.exe, lo envío ahora mismo.. por sí acaso. :roll:



    Gracias por tu atención!
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 20 Oct 2010, 10:30

    En C:\windows\ todos los que usamos XP tenemos un WINHELP.EXE que es del sistema operativo. Mira si es este, que mide 2527 Bytes :



    05/05/1999 22:22 2.527 WINHELP.EXE



    pero este que indicas parece ser un malware, y como bien dices, propio de tecnicas de ingenieria social, voy a ver si ha llegado, y adelanto el analisis, pues hay cola...



    y sigo en este mismo post, espera...



    Efectivamente, este es mucho mayor, y bicho !!! (File size : 55296 bytes )







    File name: winhelp.exe

    Submission date: 2010-10-20 08:32:13 (UTC)



    Result: 24/ 43 (55.8%)

    VT Community



    not reviewed

    Safety score: -

    Compact Print results Antivirus Version Last Update Result

    AhnLab-V3 2010.10.20.02 2010.10.20 -

    AntiVir 7.10.13.3 2010.10.20 TR/Irux.A

    Antiy-AVL 2.0.3.7 2010.10.20 -

    Authentium 5.2.0.5 2010.10.20 W32/Bamital.D.gen!Eldorado

    Avast 4.8.1351.0 2010.10.19 Win32:Crypt-HTA

    Avast5 5.0.594.0 2010.10.19 Win32:Crypt-HTA

    AVG 9.0.0.851 2010.10.20 -

    BitDefender 7.2 2010.10.20 Trojan.Oficla.AP

    CAT-QuickHeal 11.00 2010.10.20 -

    ClamAV 0.96.2.0-git 2010.10.20 -

    Comodo 6446 2010.10.20 TrojWare.Win32.Trojan.Agent.Gen

    DrWeb 5.0.2.03300 2010.10.20 Win32.Dat.6

    Emsisoft 5.0.0.50 2010.10.20 Trojan.Win32.Agent.hjf!A2

    eSafe 7.0.17.0 2010.10.19 -

    eTrust-Vet 36.1.7922 2010.10.20 -

    F-Prot 4.6.2.117 2010.10.19 W32/Bamital.D.gen!Eldorado

    F-Secure 9.0.16160.0 2010.10.20 Trojan.Oficla.AP

    Fortinet 4.2.249.0 2010.10.20 W32/Krypt.D!tr.dldr

    GData 21 2010.10.20 Trojan.Oficla.AP

    Ikarus T3.1.1.90.0 2010.10.20 -

    Jiangmin 13.0.900 2010.10.20 -

    K7AntiVirus 9.66.2789 2010.10.19 -

    Kaspersky 7.0.0.125 2010.10.20 -

    McAfee 5.400.0.1158 2010.10.20 W32/Pinkslipbot.gen.r

    McAfee-GW-Edition 2010.1C 2010.10.19 -

    Microsoft 1.6301 2010.10.20 Trojan:Win32/Meredrop

    NOD32 5546 2010.10.19 a variant of Win32/Kryptik.HJF

    Norman 6.06.07 2010.10.19 -

    nProtect 2010-10-20.01 2010.10.20 Trojan.Oficla.AP

    Panda 10.0.2.7 2010.10.20 Trj/CI.A

    PCTools 7.0.3.5 2010.10.20 HeurEngine.MaliciousPacker

    Prevx 3.0 2010.10.20 Medium Risk Malware

    Rising 22.70.01.08 2010.10.20 -

    Sophos 4.58.0 2010.10.20 Mal/Oficla-A

    Sunbelt 7098 2010.10.20 -

    SUPERAntiSpyware 4.40.0.1006 2010.10.20 Trojan.Agent/Gen-5pace

    Symantec 20101.2.0.161 2010.10.20 Packed.Generic.308

    TheHacker 6.7.0.1.062 2010.10.20 -

    TrendMicro 9.120.0.1004 2010.10.19 TROJ_BAMTAL.SMIA

    TrendMicro-HouseCall 9.120.0.1004 2010.10.20 TROJ_BAMTAL.SMIA

    VBA32 3.12.14.1 2010.10.19 -

    ViRobot 2010.10.20.4102 2010.10.20 -

    VirusBuster 12.69.7.0 2010.10.19 -

    Additional informationShow all

    MD5 : 4bfd42dbd762cbc9e063929c9a453475

    SHA1 : 8b43f8872fc5f138762356bbf6c10c6bc97243dc



    File size : 55296 bytes



    Ya puedes añadirle .VIR a su extension, y asi no se lanzará en el proximo reinicio.



    Espero que hoy entre en monitorización (hay cola) y pase a ser controlado por nuestras utilidades, de lo cual informaremos, pero mientras, si haces lo indicado, ya no incordiará.



    saludos



    ms, 20-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 20 Oct 2010, 10:54

    Muuuchas graacias!! :D :D

    Sabía que mis sospechas eran correctas, al fin visilumbro los frutos de leer tanto sobre malware.





    No te preocupes por la cola, esperare pacientemente, estoy enormemente agradecido con usted desdehace 5 años, cuando me ayudó a eliminar mi primer malware con el eliitrip.





    Saludos y gracias, haré lo que me indicó con la extensión!





    Sobre la extensión.. unicamente es agregar .vir después del .exe? sí es así me da acceso denegado, dice que el archivo esta en uso, aunque ya mate el proceso, debe de estar escondido por ahí.

    :roll:
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 20 Oct 2010, 12:13

    Pues arranca EN MODO SEGURO y posiblemente asi no se cargará y podrás añadirle la extension.



    Y sino espera la version de esta tarde del ELISTARA 21.84, en el que vamos incluyendo el TBCONDUIT y el Downloader Small y otro que genera este ultimo, aparte de este de hoy.



    saludos



    ms, 20-10-2010
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 20 Oct 2010, 13:34

    Pues vaya un bicho has ido a pillar, Buitre !



    Este WINHELP.EXE es un malware BAMITAL. que modifica los ficheros EXPLORER:EXE y WINLOGON.EXE, que deben ser restaurados por los originales, bien a traves de una restauracion a un punto anterior al problema, o bien mediante una REPARACION DE SISTEMA, pero siempre todo ello despues de eliminar el bicho con el ELISTARA > 21.84



    Como comentario, este malware elimina la pestaña de la restauracion de sistema, pero con el ELISTARA, ademas de eliminarlo, la restauramos.



    Además altera el comportamiento de la navegacion debido a alterar funciones del Winsock



    Mira una descripcion (aunque mal traducida) en http://www.raymond.cc/forum/es/spyware-viruses/22343-bamital-troyano-infecta-winlogon-exe-y-explorer-exe.html



    Bueno, ya estamos en ello, esta tarde subiremos la version 21.84 del ELISTARA, y despues de probarla, reinicias y o restauras a un punto anterior al problema o lanzas una REPARACION DE SISTEMA:


    [quote="para REPARAR WINDOWS, msc"]
    Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras



    detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y



    finalizar con un windowsupdate [/quote]

    No habiamos tenido la desgracia de conocerlo, pero con lo que hemos visto que hace, espero que te sirva lo indicado para eliminarlo



    saludos



    ms, 20-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 21 Oct 2010, 00:13

    "Restaurar sistema no se completó correctamente. No se cambió ningún archivo o configuración del equipo.

    Error no especificado"



    Eso dijo restaurar, pero el winhelp ya murio, fué destazado por ELISTARA y ya no tuve ningún problema, mi computadora estaba muy bien, pero al hacer la restauración, vuelve a estar muy lenta, el mensaje dice que no se cambió nada, pero las actualizaciones si se desintalaron, ahorita mismo esta trabajando el Windows Update, esperemos se haya corregido el winlogon :(





    Gracias por su atención
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 21 Oct 2010, 07:24

    Es posible que no sea suficiente la restauracion de sistema, y que necesites lanzar una REPARACION de sistema, arrancando con el CD de instalacion y demás, como te indicaba en mi post anterior, debido a que EXPLORER.EXE y WINLOGON.EXE están en uso y con la restauracion no los restaure...



    En cambio arrancando con el CD de instalacion, los del disco duro no están en uso y pueden sobreescribirse.



    Si te va lento, ya sabes...



    saludos



    ms, 21-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 21 Oct 2010, 07:59

    esta bien msc, gracias!!-



    Oye y por ultimo, tengo una pregunta (como siempre).



    ¿Qué gana un malware con hacer lo que hizo?, sí su intención era que yo comprara un fakeAV no me hubiera dañado el equipo a ese nivel, ó es parte del plan?.



    ¿Á poco si hay gente que les pagé?, digo.. si siguen existiendo esos malwares.. es porque han tenido cierto exito.

    Sí pago por un antivirus falso... al pagar ya me daran un verdadero antivirus?.

    No se puede proceder legalmente contra esas páginas?.





    Perdón por incomodarte siempre con mis preguntas, es solo que.. eres el maestro en esto de los virus, google no me es tan específico.



    Saludos!! y muchas gracias por tu atención y tu ayuda! :D
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 21 Oct 2010, 09:24

    Sí, cuando el Bamital ha modificado el EXPLORER.EXE y el WINLOGON.EXE, una vez eliminado el malware, ya vez que va lento y es porque, segun dicen en el articulo (con deficiente traducción a máquina) del que te di el link, [b][i]"varias funciones Winsock se enganchan para supervisar el tráfico de Internet y el cambio de los resultados de la búsqueda web."[/i][/b].



    Así que lanza una REPARACION de sistema, ya que ni intentando copiar los ficheros de otro ordenador se podría, por estar en uso. Otra alternativa sería colocar el disco duro en otro ordenador con igual sistema y copiar los dos ficheros del master al esclavo, lo cual podrías probar, si te es mas fácil y comentarnos el resultado, gracias.



    saludos



    ms, 21-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 22 Oct 2010, 00:06

    Esta bien, yo le aviso MSC!!



    por ahora a buscar esos CDs!!



    Gracias, saludos!
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Avatar de Usuario
    msc hotline sat
    Mensajes: 93500
    Registrado: 09 Mar 2004, 20:39
    Ubicación: BARCELONA (ESPAÑA)
    Contactar:
    Contactar msc hotline sat

    Re: adware persistente

    Mensaje por msc hotline sat » 22 Oct 2010, 09:38

    Hemos pensado otra manera mas accesible para los usuarios que tropiecen con este bicho, y es, una vez limpiado el bicho con el ELISTARA, añadir a los ficheros modificados (EXPLORER.EXE Y WINLOGON.EXE) la extension .VIR, tras lo cual el sistema operativo del ordenador, si en DLLCACHE tiene los originales, los repondrá en pocos segundos, y tras reiniciar, se tendrán los originales, pruebalo a ver si hay suerte !



    Luego, tras comprobar que vuelvas a tener los dos .EXE, borra los dos .VIR y listos.



    Ya nos contarás.



    saludos



    ms, 22-10-2010
    Arriba
    buitre
    Mensajes: 134
    Registrado: 06 Jul 2005, 02:49
    Ubicación: mexico
    Contactar:
    Contactar buitre

    Re: adware persistente

    Mensaje por buitre » 05 Nov 2010, 11:47

    Voooy!.



    Lo siento MSC apenas cheque mi correo antiguo y ví la notificación, realmente no he tenido problemas con el ordenador, todo ha estado perfecto desde que aniquilamos a el señor Bamital, por eso es que no conseguí los discos.



    Interare lo del .vir haber que sucede, yo me reporto!.





    Saludos y gracias!
    "el hombre sabio cuando calla dice mas que el necio cuando esta hablando" THOMAS FULLER
    Arriba
    Responder

    Volver a “Foro Virus - Cuentanos tu problema”