TROYANO CAPRICHOSO (SOLUCIONADO)

Renata · Mensaje por **Renata** » 21 Oct 2010, 15:04

Ms, perdón, me perdí... no entiendo lo del MBR he concultado en la Web...

El Master Boot Record (MBR) es un pequeño programa que es ejecutado en cada Inicio del sistema operativo y se encuentra ubicado en el primer sector absoluto (Track 0, head 0, sector 1) del disco duro en una PC y que busca la Tabla de Particiones para transferirla al Sector de Arranque (Boot).

El MBR está compuesto por código ejecutable y las entradas de la Tabla de Particiones.

... ¿'? :oops: :mrgreen:

Qué (he recuperado las tildes) ¿Qué debo hacer ? ¿pasar el Elistara ahora? o...... :roll:

Estaré en casa dedicada a terminar con esta faena, la lluvia impidió mi subida a la montaña... :?

Abrazo.

Mensaje por **msc hotline sat** » 21 Oct 2010, 15:27

Bueno, pues que no se te pierdan otra vez las llaves, quiero decir las tildes... :)

Sí, el MBR es el MASTER BOOT RECORD, o sector de arranque maestro, y se ejecuta cada vez que se arranca el disco duro, tras lo cual ve las particiones definidas, hasta 4 que se indican a partir del Byte 446 hasta el 512 de dicho sector, dado que los primeros 445 Bytes son para el código o programa contenido en dicho sector, que arranca en código máquina y da paso a la ejecución del BOOT SECTOR, que lanza los ficheros de arranque del disco duro.

Si el MBR es infectado, siempre que se arranque desde el disco duro se pondrá en virus en memoria, y lo que se haga a continuacion dependerá de lo que afecte dicho virus.

Algunos virus, de antaño, se ponian en este sector, como el STONED, de finales de los 80 !, y otros muchos siguieron sus pasos, especialmente cuando habian disquetes, que segun el virus que tuvieran, infectaban dicho sector del disco duro.

Ahora ya muchos menos, pues los disquetes casi han desaparecido, aunque yo los uso para guardar en cada uno virus y utilidades especificas, para los que los pendrives son demasiado grandes.

Pues bien, algun que otro RootKit se esconde en dicho sector MBR y se esconden de mala manera, logrando pasar desapercibidos hasta que nos los cargamos, a veces a ciegas.

Con el MBRFIX se logra sobreescribir el MBR, pero ya que no puedes en tu caso, existe un MBRFIX que puedes encontrar con el Google, que dicen que logra lo mismo, pues si no hay Rootkit en ficheros y sigue generando bichos. pruebalo, pero primero vuelve a pasar el ELISTARA a ver si realmente tienes mas, y posteanos el log del SPROCES actual, QUE LE ECHAREMOS UNA MIRADA .

Venga, aprovechemos que llueve y es buen día para limpiar bichos :)

saludos

ms, 21-10-2010

Renata · Mensaje por **Renata** » 21 Oct 2010, 15:45

Mmm... el que sabe sabe... yo quedo gringa ante todos tus conocimientos.

Buscaré el FIXMBR para realizar lo que me dices.

Y acá el SPROCES... ¿Se escribe así? Parece que voy aprendiendo... :shock:

(21-10-2010 13:43:17 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: Equipo01

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\APPSERV\APACHE2.2\BIN\HTTPD.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\APPSERV\APACHE2.2\BIN\HTTPD.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\APPSERV\MYSQL\BIN\MYSQLD-NT.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESSERVICE32.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\HIDSERV.EXE

C:\WINDOWS\CFDRIVE32.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\MICROSOFT\JKFDPJYCUVRI.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\MICROSOFT\LSASS.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\WINDOWS\SYSTEM\WINLOGON.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESAPP32.EXE

C:\WINDOWS\SYSTEM32\NTVDM.EXE

C:\WINDOWS\SYSTEM32\NTVDM.EXE

C:\WINDOWS\TEMP\CLR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\DOWNLOADS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Taskman=C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\System\winlogon.exe

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts:

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: (no name) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - (no file)

O3 - Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: (no name) - {0558df35-d276-4dfb-88d9-c6398aeedf91} - (no file)

O3 - Toolbar: (no name) - {76c9124c-a245-4453-9bf6-ae2c6516600c} - (no file)

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O4 - HKCU\..\Run: [Registry Driver] C:\Documents and Settings\Administrador\Datos de programa\Microsoft\lsass.exe

O4 - HKCU\..\Run: [GoogleApps] C:\Documents and Settings\Administrador\Datos de programa\Microsoft\JkFDpjyCuVRI.exe

O4 - HKCU\..\Run: [Microsoft Configuration] C:\Windows\Temp\msconfig.exe

O4 - HKCU\..\Run: [Windows Update System] C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [smss] C:\Windows\System32\drivers\smss.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\install\Svchost.exe

O4 - HKCU\..\Run: [winlogon] C:\Windows\System\winlogon.exe

O4 - HKCU\..\RunOnce: [Registry Driver] C:\Documents and Settings\Administrador\Datos de programa\Microsoft\lsass.exe

O4 - HKLM\..\Run: [Windows Update System] C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

O4 - HKLM\..\Run: [smss] C:\Windows\System32\drivers\smss.exe

O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\install\Svchost.exe

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe

O4 - HKLM\..\Run: [winlogon] C:\Windows\System\winlogon.exe

O4 - HKCU\..\Policies\Explorer\Run: [smss] C:\Windows\System32\drivers\smss.exe

O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\install\Svchost.exe

O4 - HKCU\..\Policies\Explorer\Run: [winlogon] C:\Windows\System\winlogon.exe

O4 - HKLM\..\Policies\Explorer\Run: [msnmsgs] C:\Documents and Settings\Administrador\Datos de programa\pufrlwl.exe

O4 - HKLM\..\Policies\Explorer\Run: [Driversys] C:\WINDOWS\mwljdba.exe

O4 - HKLM\..\Policies\Explorer\Run: [VGA] C:\WINDOWS\system32\26.exe

O4 - HKLM\..\Policies\Explorer\Run: [msnmsg] C:\Documents and Settings\Administrador\Datos de programa\pqrsq.exe

O4 - HKLM\..\Policies\Explorer\Run: [Driversys32] C:\WINDOWS\wboxa.exe

O4 - HKLM\..\Policies\Explorer\Run: [VGAResolution] C:\WINDOWS\wboxa.exe

O4 - HKLM\..\Policies\Explorer\Run: [$¶Å_ÅÍÍ#«ìñ

¤fÛwRXÓÄbð ¾Ma[ò1¤<Â\$âzC6aþšòn]W´â/grÕž%† çqS÷°Ÿ×åd'ëé³íÁK!àšküÇù.QÐÕKÚ6³¼úòN§ o +×·EpCØ• ] §

ÕŽþÎ{•

O4 - HKLM\..\Policies\Explorer\Run: [smss] C:\Windows\System32\drivers\smss.exe

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\install\Svchost.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe

O4 - HKLM\..\Policies\Explorer\Run: [winlogon] C:\Windows\System\winlogon.exe

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.13\AMVConverter\grab.html

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Anexar destino de vínculo a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.13\MediaManager\grab.html

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1287333332468

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 717296 bytes) ()

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apache2.2 - Apache Software Foundation - C:\AppServ\Apache2.2\bin\httpd.exe

O23 - Service: Application Updater - Unknown owner - C:\Archivos de programa\Application Updater\ApplicationUpdater.exe (file missing)

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\xampp\FileZillaFTP\FileZilla Server.exe (file missing)

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: mysql - Unknown owner - C:\AppServ\MySQL\bin\mysqld-nt --defaults-file=C:\AppServ\MySQL\my.ini (file missing)

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Modem Interface USB Device for Legacy Serial Communication (qcusbser) - TCT International Mobile Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\qcusbser.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys (file missing)

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys (file missing)

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

28 Servicios.

10 de Carga Automatica.

17 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 21 Oct 2010, 20:58

No, no, debes buscar MBRFIX, no FIXMBR.

El FIXMBR es el de Microsoft de la consola de recuperacion que tu no tienes, y el otro es un "sucedaneo" que puede servir para tu caso.

y voy a mirar el log

Mensaje por **msc hotline sat** » 21 Oct 2010, 21:17

Pues vaya !

Tienes cantidad de probables malwares:

C:\WINDOWS\CFDRIVE32.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\MICROSOFT\JKFDPJYCUVRI.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\MICROSOFT\LSASS.EXE

C:\WINDOWS\SYSTEM\WINLOGON.EXE

C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe

C:\Documents and Settings\Administrador\Datos de programa\Microsoft\lsass.exe

C:\Documents and Settings\Administrador\Datos de programa\Microsoft\JkFDpjyCuVRI.exe

C:\Windows\Temp\msconfig.exe

C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

C:\Windows\System32\drivers\smss.exe

C:\WINDOWS\system32\install\Svchost.exe

C:\Windows\System\winlogon.exe

C:\Documents and Settings\Administrador\Datos de programa\Microsoft\lsass.exe

C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

C:\Windows\System32\drivers\smss.exe

C:\WINDOWS\system32\install\Svchost.exe

C:\WINDOWS\cfdrive32.exe

C:\Windows\System\winlogon.exe

C:\Windows\System32\drivers\smss.exe

C:\WINDOWS\system32\install\Svchost.exe

C:\Windows\System\winlogon.exe

C:\Documents and Settings\Administrador\Datos de programa\pufrlwl.exe

C:\WINDOWS\mwljdba.exe

C:\WINDOWS\system32\26.exe

C:\Documents and Settings\Administrador\Datos de programa\pqrsq.exe

C:\WINDOWS\wboxa.exe

C:\Windows\System32\drivers\smss.exe

C:\WINDOWS\system32\install\Svchost.exe

C:\WINDOWS\cfdrive32.exe

C:\Windows\System\winlogon.exe

cuidado que las carpetas c:\windows\system\ no son las de sistema, que sería c:\windows\system32\ ... ten cuidado !!!

A todos estos ficheros añadeles .VIR a la extension y envianoslos para analizar, pero vamos, nunca había visto nada igual !!! es que tienes una fábrica de malwares o qué ???!!!

y aun hay mas, tienes esta clave que o es una malfuncion de la aplicacion o es algo desconocido lo que carga ??? :

O4 - HKLM\..\Policies\Explorer\Run: [$¶Å_ÅÍÍ#«ìñ

Nasty (2.27 / 5.00)

¤fÛwRXÓÄbð ¾Ma[ò1¤

ÕŽþÎ{•

Mas vale que la elimines si al volver a lanzar el SPROCES se confirma que existe.

Para eliminarlo, con el BUSCAREG selecciona esta linea : [$¶Å_ÅÍÍ#«ìñ y dale a buscar, luego pulsas en la clave encontrada y selecciona ELIMINAR.

Siento que estés en este fregado, pero es que en 20 años de dedicación a seguridad informática, no había encontrado un caso como el tuyo de una regeneracion tan a lo bestia ! Lo comentaré con mis compañeros que no se lo van a creer !

Pero bueno igual es lo del MBR, y una vez aparcados estos ficheros y sobreescrito el código indicado, se soluciona el problema, que ya toca !!!

Bueno, te dejo que ya tienes faena !

saludos

ms, 21-10-2010

Renata · Mensaje por **Renata** » 22 Oct 2010, 04:37

Omm... ¡Plop! :oops: :cry: :evil: :twisted:

Si pagaran por virus me hago lo del Crucero y a las islas de malta se ha dicho... :wink: Estoy aterrada de ver todo lo que has hecho para combatir mis bichos y mira pues que lata que damos.

Imagínate bajé el BUSCAREG de Satinfo, todo está bien hasta que copio y pego el [$¶Å_ÅÍÍ#«ìñ en el espacio y le doy buscar y nada, no marcha, se queda lelo y luego se pone todo el cuadro en blanco, para que salga el aviso de (No responde) Uff... Seguiré en el intento y pondré el .vir en los ficheros respectivos.

Tengo para la noche, así que al terminar regreso.

Ya ves por lo visto me pondrán la corona como "La reina de los bicho, bichos" :(

Soy yo ahora quien necesita de ese abrazo fuerte de amistad que me brinde esperanza para ganar esta batalla.

Saluditos y buen amanecer.

Renata.

Renata · Mensaje por **Renata** » 22 Oct 2010, 06:12

Ms, buen día. Encontraras la bandeja saturada de archivos, te he enviado algunos puesto que no todos se dejaron atrapar.

Van unos archivos nuevos, estoy segura que esos llevan el engendro que los da a luz.

Pase el Elistara, te dejo el Info: ¡Gracias y que pases un buen día!

(22-10-2010 03:23:11 (GMT))

EliStartPage v21.85 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v21.85

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICES.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.85

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CFDRIVE32.EXE.Muestra EliStartPage v21.85

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CFDRIVE32.EXE --> Eliminado

C:\Documents and Settings\Administrador\Datos de programa\DATA.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "HKLM"="C:\WINDOWS\system32\install\Svchost.exe"

Entrada Eliminada [HKCU\...\Run] "HKCU"="C:\WINDOWS\system32\install\Svchost.exe"

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Run] "windows"="winlogin.exe"

Entrada Eliminada [HKLM\...\Run] "Windows Data Serivce"="services.exe"

Entrada Eliminada [HKLM\...\Run] "Windows Update"="C:\WINDOWS\system32\n2m8.exe"

Entrada Eliminada [HKCU\...\Run] "winlogon"="C:\Windows\System\winlogon.exe"

Entrada Eliminada [HKLM\...\Run] "winlogon"="C:\Windows\System\winlogon.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "Policies"="C:\WINDOWS\system32\install\Svchost.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Policies"="C:\WINDOWS\system32\install\Svchost.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "winlogon"="C:\Windows\System\winlogon.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "winlogon"="C:\Windows\System\winlogon.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

(22-10-2010 03:39:18 (GMT))

EliStartPage v21.85 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\Datos de programa\CSRSS.EXE --> Eliminado, Malware.MSIL

C:\Muestras\CFDRIVE32.EXE.MUESTRA ELISTARTPAGE V21.84.VIR --> Eliminado, Trojan.Ircbrute

C:\Muestras\SMSS.EXE.MUESTRA ELISTARTPAGE V21.84.VIR --> Eliminado, Malware.MSIL

C:\WINDOWS\system\WINLOGON.VIR --> Acceso Denegado, Malware.MSIL (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\drivers\QSNVXXNGDVVJ.EXE --> Eliminado, Malware.MSIL

C:\WINDOWS\system32\drivers\WINLOGON.EXE --> Eliminado, Malware.MSIL

C:\WINDOWS\Temp\0417.EXE --> Eliminado, Trojan.Ircbrute

C:\WINDOWS\Temp\1636709.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\28357.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\38934.EXE --> Eliminado, Trojan.Ircbrute

C:\WINDOWS\Temp\4004.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\800691.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\80311.EXE --> Eliminado, Trojan.Ircbrute

C:\WINDOWS\Temp\897878.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\MSCONFIG.EXE --> Eliminado, Malware.MSIL

Nº Total de Directorios: 11623

Nº Total de Ficheros: 91836

Nº de Ficheros Analizados: 34830

Nº de Ficheros Infectados: 15

Nº de Ficheros Limpiados: 14

Renata · Mensaje por **Renata** » 22 Oct 2010, 06:27

Ms, y aqui el SPROCES... Mmm... se me acabaron las palabras, dormiré un rato.

(22-10-2010 04:23:21 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: Equipo01

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\N2M8.EXE

C:\WINDOWS\SERVICES.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\DOWNLOADS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Shell=explorer.exe,C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe (HKCU)

F2 - REG:system.ini: Taskman=C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\System\winlogon.exe

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts:

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: (no name) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - (no file)

O3 - Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: (no name) - {0558df35-d276-4dfb-88d9-c6398aeedf91} - (no file)

O3 - Toolbar: (no name) - {76c9124c-a245-4453-9bf6-ae2c6516600c} - (no file)

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O4 - HKCU\..\Run: [Registry Driver] C:\Documents and Settings\Administrador\Datos de programa\Microsoft\lsass.exe

O4 - HKCU\..\Run: [GoogleApps] C:\Documents and Settings\Administrador\Datos de programa\Microsoft\JkFDpjyCuVRI.exe

O4 - HKCU\..\Run: [Microsoft Configuration] C:\Windows\Temp\msconfig.exe

O4 - HKCU\..\Run: [Windows Update System] C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [winlogon] C:\Windows\System\winlogon.exe

O4 - HKCU\..\RunOnce: [Registry Driver] C:\Documents and Settings\Administrador\Datos de programa\Microsoft\lsass.exe

O4 - HKLM\..\Run: [Windows Update System] C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [winlogon] C:\Windows\System\winlogon.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Administrador\Mis documentos\Downloads\EliStarA.exe

O4 - HKCU\..\Policies\Explorer\Run: [smss] C:\Windows\System32\drivers\smss.exe

O4 - HKCU\..\Policies\Explorer\Run: [winlogon] C:\Windows\System\winlogon.exe

O4 - HKLM\..\Policies\Explorer\Run: [msnmsgs] C:\Documents and Settings\Administrador\Datos de programa\pufrlwl.exe

O4 - HKLM\..\Policies\Explorer\Run: [Driversys] C:\WINDOWS\mwljdba.exe

O4 - HKLM\..\Policies\Explorer\Run: [VGA] C:\WINDOWS\system32\26.exe

O4 - HKLM\..\Policies\Explorer\Run: [msnmsg] C:\Documents and Settings\Administrador\Datos de programa\pqrsq.exe

O4 - HKLM\..\Policies\Explorer\Run: [Driversys32] C:\WINDOWS\wboxa.exe

O4 - HKLM\..\Policies\Explorer\Run: [VGAResolution] C:\WINDOWS\wboxa.exe

O4 - HKLM\..\Policies\Explorer\Run: [$¶Å_ÅÍÍ#«ìñ

¤fÛwRXÓÄbð ¾Ma[ò1¤<Â\$âzC6aþšòn]W´â/grÕž%† çqS÷°Ÿ×åd'ëé³íÁK!àšküÇù.QÐÕKÚ6³¼úòN§ o +×·EpCØ• ] §

ÕŽþÎ{•

O4 - HKLM\..\Policies\Explorer\Run: [smss] C:\Windows\System32\drivers\smss.exe

O4 - HKLM\..\Policies\Explorer\Run: [winlogon] C:\Windows\System\winlogon.exe

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.13\AMVConverter\grab.html

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Anexar destino de vínculo a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.13\MediaManager\grab.html

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1287333332468

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 717296 bytes) ()

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apache2.2 - Apache Software Foundation - C:\AppServ\Apache2.2\bin\httpd.exe

O23 - Service: Application Updater - Unknown owner - C:\Archivos de programa\Application Updater\ApplicationUpdater.exe (file missing)

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\xampp\FileZillaFTP\FileZilla Server.exe (file missing)

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: mysql - Unknown owner - C:\AppServ\MySQL\bin\mysqld-nt --defaults-file=C:\AppServ\MySQL\my.ini (file missing)

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Modem Interface USB Device for Legacy Serial Communication (qcusbser) - TCT International Mobile Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\qcusbser.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys (file missing)

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys (file missing)

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

29 Servicios.

11 de Carga Automatica.

17 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 22 Oct 2010, 07:02

Bueno, ya ves que eliminamos unos cuantos y que pedimos muestras de otros:

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v21.85

Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.85

Por favor, envienos una muestra del fichero

C:\Muestras\CFDRIVE32.EXE.Muestra EliStartPage v21.85

Si no has enviado estos últimos, hazlo, claro

Y solo nos cabe la esperanza que entre los que te pedi ultimamente o en el MBR antiguo, hubiera un RootKit-Downloader que descargara toda esta cantidad de troyanos que aparecen cada vez que reinciias !

Y voy a ver el log del último SPROCES:

Mensaje por **msc hotline sat** » 22 Oct 2010, 07:16

Pues parece que tienes estos sospechoso, añade .VIR a su extension y envianoslos para analizar:

C:\WINDOWS\SYSTEM\WINLOGON.EXE

C:\WINDOWS\SERVICES.EXE

C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe

C:\Windows\system32\userinit.exe,C:\Windows\System\winlogon.exe

C:\Documents and Settings\Administrador\Datos de programa\Microsoft\lsass.exe

C:\Documents and Settings\Administrador\Datos de programa\Microsoft\JkFDpjyCuVRI.exe

C:\Windows\Temp\msconfig.exe

C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

C:\Windows\System\winlogon.exe

C:\Documents and Settings\Administrador\Datos de programa\Microsoft\lsass.exe

C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

C:\Windows\System32\drivers\smss.exe

C:\Documents and Settings\Administrador\Datos de programa\pufrlwl.exe

C:\WINDOWS\mwljdba.exe

C:\WINDOWS\system32\26.exe

C:\Documents and Settings\Administrador\Datos de programa\pqrsq.exe

C:\WINDOWS\wboxa.exe

Esta vez la lista es menor, y quizas ya son los que has enviado y todavía no hemos visto, asi que seran aun menos, AÑADELES .VIR A LOS QUE ENCUENTRES Y ENVIANOSLOS PARA ANALIZAR

Y mientras analizamos las muestras e implementamos su control y eliminacion en la nueva verison 21.86 del ELISTARA, lanza el ELIPALEVO, ya que el ltzqai.exe pinta ser uno de dicha familia. Y de paso, lanza tambien el ultimo ELITRIIP, por si acaso...

Por cierto, hoy es viernes, y la entrada de muestras se cierra a las 14 horas, pues SATINFO cierra a las 15h cada viernes hasta el lunes, asi que si te despiertas temprano, envianos las muestras enseguida que puedas para que podamos analizarlas y controlarlas en las versiones de hoy, a ver si con ello y lo hecho hasta ahora solucionamos el Tema !

saludos

ms, 22-10-2010

Mensaje por **msc hotline sat** » 22 Oct 2010, 09:22

Tan solo entrar a SATINFO hemos buscado tus ficheros y ya veo que no has encontrado bastantes de los que te pediamos, quizas por que ya no estan y son claves inutiles, o bien porque no se ven.

Si fuera por lo último, disponemos de la utilidad ELIMOVER, que copia el fichero buscado en C:\muestras, e incluso le añade .VIR si se le indica en la casilla inferior, y es porque pueden estar ocultos o de dificil acceso y asi les quitamos los atributos y los ppnemos en C:\muestras, faciles de acceder para enviarnoslos

Especialmente, por el nombre, aparte de los demas que no hayas encontrado, mira si encuentras este:

C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

entra con un copiar y pegar toda la linea en el ELIMOVER, y marca lo de añadir.VIR a la extension:

[quote="msc"

DESCARGA DE ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp

y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio

[/quote]

Nos hemos fijado en este por su nombre de "hidserv" que podría querer decir "hidden service", esto es, algo para ocultar servicios que nos impidiera ver los que nos causan el problema.

Cuando puedas, mira si lo encuentras y nos lo envias.

saludos

ms, 22-10-2010

NOTA::

Y dicho fichero HIDSERV.EXE seguro que lo tienes porque figura no solo como lanzado desde las claves de registro, sino ya al principio, entre los que están en uso, asi que, A POR ÉL !!! ms.

Mensaje por **msc hotline sat** » 22 Oct 2010, 10:38

RENATA, MUY BUENAS NOTICIAS !!!

Entre los ficheros que nos has enviado aparece este:

[i]~~[b]~~BACRyqgvuOtq.exe[/b][/i]

que ha resultado ser un DROPPER que genera diferentes troyanos con diferentes nombres cada vez y diferentes ubicaciones, y el mismo hacker o coder lo ha ubicado en una carpeta que ha bautizado como PARANOI, y es que es para volverse paranoico !!!

Nosotros lo pasamos a controlar a partir del ELISTARA 21.86 de hoy como Malware Paranoi.DR y a sus "hijos", simplemente Malware PARANOI

Es una de las madres del cordero, aunque me que temo tú, además, que tengas otras, pero por lo menos hemos cazado ya a una !

No te desanimes (hay para estarlo), que esto pinta mejor ...

Ojala sea lo primero que leas hoy :)

saludos

ms, 22-10-2010

NOTA: Y hasta las noticias hablan de tí :) :

http://www.zonavirus.com/noticias/2010/nuevo-dropper-paranoi-generador-de-diferentes-troyanos-en-diferentes-carpetas-solo-detectado-por-10-de-los-43-av-de-virustotal.asp

Renata · Mensaje por **Renata** » 22 Oct 2010, 23:37

Ms, hoy te tengo dos noticias:

La primera más que para ti es para mi... ¡Soy famosa, soy famosa! Umm... :lol:

La segunda no es grata en absoluto... Mi pc ha muerto... Presiento que no fueron los virus, no fue ese temible dragón del fin de semana, ni siquiera el bichito que me llevó a la fama en las páginas de Santinfo... fueron mis traviesos deditos que renombraron un archivo con el .vir y por equivocación lo pusieron en algún archivo de System o System32 que no era y... de pronto desde anoche inmediatamente después del último correo que te dejé, cerró sus ojitos y me abandonó. Al encenderlo empieza a entrar a Windows y me sale el aviso de que falta un archivo para que funcione correctamente... no recuerdo como se llama pero termina en .~~[b]~~dll[/b] o ~~[b]~~.dell [/b]algo así...

De esa manera gracias a mi torpeza me he quedado sin pc y ya sabes lo que esto significa para mi, puesto que mi trabajo está centrado en él y sin computador quedo en el limbo.

Me es muy grato saber que gracias a vuestro trabajo y mi quejadera se logró encontrar nuevo dropper llamado PARANOI.

Trataré de entrar mañana desde una sala pública, así será hasta que consiga un técnico o Ingeniero que recupere mi sistema.

Abrazo y mil gracias.

Renata.

"La reina de los bichos, bichos" :wink:

Mensaje por **msc hotline sat** » 23 Oct 2010, 10:02

No es tan grave el león como lo pintan !!!

Es cuestión de arrancar con cualquier CD de instalación, aunque no sea el del tuyo, ya que "no lo encuentras" y entrar n Consola de Recuperacion, pulsando R, tras ello acceder a la carpeta donde estaba el fichero que has aladido la extension .VIR incorrectamente, que supondo será c:\windows\system32, lo cual se logra con "CD\" <enter> , para partir de la raiz, luego, "CD windows" <enter> , y por ultimo con "CD system32" <enter> , todos sin comillas, claro. pues asi estarás en la carpeta de sistema, y allí escribiendo

REN "fichero".dll.vir "fichero".dll <enter> quedará renombrado como estaba antes

Nota CD significa cambiar directorio y REN renombrar, pero windows lo entiende con dichas siglas.

Luego solo te falta quitar el CD de arranque y reiniciar normalmene.

Si fueran tan fácles de solucionar todos los problemas ...

Cuando lo hayas hecho y sigas como antes, veremos donde estamos, y tras probar el ELISTARA 21.86 nos posteas el resultado, gracias

Lo antes indicado del CD, tambien hay imagenes de LIVE CD co lo que lo puedes conseguir, arranncando con ellos. Y ahora que me acuerdo, tu estudiaste LINUX, pues con un disco de arranque de dicho sistema puedes lograr el acceso a tu disco duro y renombrar dicho fichero, de hecho el LIVE CD que utilizamos en SATINFO es eso.

venga, que solo ha sido un tropiezo y a Dios gracias no te has roto ninguna pierna !

saludos

ms, 23-10-2010

Renata · Mensaje por **Renata** » 29 Oct 2010, 06:23

Buen día Ms. regreso a casa después de más de ocho días sin computador. Hace unos días te escribí un privado comentándote que todo estaba bien... mmm falsa alarma. Una vez arreglado mi pc, entré por no más de 10 minutos al Internet y me sacó de inmediato, negándome la entrada a la Web. Ha sido una completa batalla donde llevamos a cabo cada paso por ti indicado tratando de no formatear el pc... fue imposible. Le pusimos un Windows 2003... nanay...

Cambié de técnico... estuvo a punto de quedarle grande, hasta que hoy logró poner a media marcha mi equipo. (Windows 2007) Digo a media marcha porque no es lo mismo que antes. No me deja trabajar por IE, se bloquea continuamente a pesar de estar completamente en blanco, puesto que alcancé por fortuna a copiar todas las carpetas en un disco duro portátil de mi hija. Así que no perdí mis trabajos.

Aquí estoy de nuevo amigo mío, esperando tus indicaciones.

Mensaje por **msc hotline sat** » 29 Oct 2010, 09:43

El windows 7 es otra historia, es mas seguro pero requiere privilegios para cualquier operacion.

Yo trabajo con el XP e intentaré mantenerlo hasta el 2014 que microsoft dejará de soportarlo, y es que soy conservador, y cuando una cosa funciona, rehuyo cambiar por otra desconocida por aquello de que "mas vale malo conocido que bueno por conocer", salvo que se tratara del VISTA, que resultó ser un bodrio, pero en tu caso, si me hubieras consultado, te hubiera sugerido siguieras de momento con el XP...

Si sigues con el W7, recuerda https://foros.zonavirus.com/viewtopic.php?f=5&t=32402

Empieza con los informes del ELISTARA y del SPROCES actuales, lanzados ahora en esta máquina

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Tras lanzarlo, pulsar en SALIR y con un copiar y pegar, nos posteas el contenido del C:\sproclog.txt en tu proximo post, como respuesta de este Tema

[/quote]

Pensaba que ya te habías olvidado de nosotros, pero veo que no has podido, lo siento ... :cry:

saludos Renata.

ms, 29-10-2010

Renata · Mensaje por **Renata** » 29 Oct 2010, 11:58

Acá de nuevo MS.

Disculpa por haberlo omitido, si tengo el mismo XP... Ahora voy a pasar los recomendados.

¿Olvidarlos...? Son ustedes el mejor sitio de la Web donde podemos encontrar alivio a nuestros males tecnológicos.

Regreso...

Ben día.

Mensaje por **msc hotline sat** » 29 Oct 2010, 12:47

Pues habia entendido que te habian instalado Windows 7 , al decir [i]~~[b]~~"hasta que hoy logró poner a media marcha mi equipo. (Windows 2007)"[/b][/i], pues si mantienes el XP, seguimos con él !

Espero que te haya dado los CD de instalacion, pues quizas hará falta para lanzar el FIXMBR del que habiamos hablado, pero antes que nada, empecemos por analizar el MBR con esta utilidad que vamos a utilizar alguna vea a partir de ahora, dado que en dicho sector fisico se instalan Rootkits que nos impiden ver lo que hay realmente en el disco duro, y lo que se lanza desde el registro: COPYMBR.EXE

~~[b]~~COPYMBR.EXE[/b]

http://www.zonavirus.com/descargas/copymbr.asp

Tras descargarla, la pruebas y nos envias el fichero resultante, que te indicará donde y como llama.

Con ello veremos si hay algo que nos molesta en el codigo de dicho sector físico, y obraremos en consecuencia.

Y aparte, posteanos los informes resultantes de la ultima version del ELISTARA y del SPROCES lanzados actualmente.

y ya le tienes un pìe al cuello, controlado el dropper que vimos, a ver que queda ahora...

Recuerda que hoy es viernes y SATINFO cierra a las 15 horas de España, y no volvemos hasta el martes dia 2, ya que el dia 1 es la Fiesta de Todos los Santos, creo que tambien para vosotros :)

saludos

ms, 29-10-2010

Renata · Mensaje por **Renata** » 30 Oct 2010, 03:27

Ms, disculpa estuve todo el día ausente de casa.

Ha resultado un archivo con terminación HD1... no sabía que hacer con él así que lo comprimí y lo envié como Muestra....

Tienes razón acá de igual manera es festivo el día lunes... así que esperaré hasta el martes para leer tu diagnóstico... El Técnico no me quiso entregar el CD... celoso en sus cosas... bueno ha de ser para tenerme ahí.

Gracias.

Te dejo el Info de ELISTARA:

(30-10-2010 01:05:54 (GMT))

EliStartPage v21.91 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 29 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(30-10-2010 01:10:43 (GMT))

EliStartPage v21.91 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 29 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4969

Nº Total de Ficheros: 45808

Nº de Ficheros Analizados: 16516

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(30-10-2010 01:11:27 (GMT))

EliStartPage v21.91 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 29 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 683

Nº Total de Ficheros: 5233

Nº de Ficheros Analizados: 1082

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

====================================================

(30-10-2010 01:11:53 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: WINDOWS-BA61CDE

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.co/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG10\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKLM\..\Run: [AVG_TRAY] C:\Archivos de programa\AVG\AVG10\avgtray.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG10\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: RAILNOTIFICATION - WINLOGONNOTIFICATION.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456704 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 576512 bytes) () Microsoft Corporation

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

O23 - Service: WatchDog de AVG (avgwd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG10\avgwdsvc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD\000.fcl

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: AVGIDSDriver - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSDriver.Sys

O23 - Service: AVGIDSFilter - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSFilter.Sys

O23 - Service: AVGIDSShim - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSShim.Sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

19 Servicios.

7 de Carga Automatica.

11 de Carga Manual.

1 Deshabilitados.

==========================================================

EL INFO DE COPYMBR

Check OS Version .

Check Microsoft DirectX version .

Check Microsoft IE Version .

Initial String for install file name and setting .

Get easy setting for installshield .

Check Realtek AC'97 Audio Driver file for windows ME/2000/XP/2003 .

Moving Realtek AC'97 Audio Driver file .

Realtek AC'97 Audio Driver install ( Running ) .

Start Realtek AC'97 Audio Driver file to temp folder.

Copy Realtek AC'97 Audio Driver file to temp folder.

Copy Realtek AC'97 Audio Driver file to temp folder completed .

Start copy Realtek AC'97 Audio application file .

Copy Realtek AC'97 Audio application file completed .

Realtek AC'97 Audio Driver install ( After ) .

Begin installing Realtek AC'97 Audio Driver for Windows2000/XP/2003/x64 .

Install Realtek AC'97 Audio Driver completed .

Start Realtek AC'97 Audio Driver file to correct folder.

Copy Realtek AC'97 Audio Driver file to correct folder .

Copy Realtek AC'97 Audio Driver file to correct folder completed .

Install Realtek AC'97 Audio Driver completed .

Mensaje por **msc hotline sat** » 30 Oct 2010, 06:42

Bueno Renata, eso está mucho mejor pero hay 4 claves que conviene eliminar:

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

Para ello puedes usar el BUSCAREG.EXE e insertarle cada una de las 4 cadenas contenidas entre llaves {} , por ejemplo para la primera sería:

8AD9C840-044E-11D1-B3E9-00805F499D93

con un "copiar y pegar" los entras en el BUSCAREG, y luego pulsas doble click sobre la clave encontrada y aceptas ELIMINAR :

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

Y si tras reiniciar persiste algun problema, deberías lanzar un FIXMBR desde la Consola de Recuperacion, lo cual se hace arrancando con el CD de instalacion y pulsando R tras arrancar, pero si los CD los tiene el tecnico, o se los pides o que lo haga él...

Sino, puedes buscar con el Google una aplicacion que se llama MBRFIX.EXE, aunque no tengo experiencioa con ella, parece que consigue lo mismo, esto es, sobreescribir el MBR del disco duro, que es el código de arranque donde puede haber algun Rootkit, como descubrimos en un caso reciente que nos tuvo en vilo todo un día: http://www.zonavirus.com/noticias/2010/nuevo-fake-alert-think-point-oculta-variante-de-fake-microsoft-security-essentials-alert.asp

Evidentemente, si el martes vemos otro Rootkit en el fichero enviado del MBR, lo detectaremos en el próximo ELISTARA, pero en tal caso solo confirmará que le hace falta lo del FIXMBR, y ya puestos, no hace ningun daño hacerlo a priori.

Pero si tras eliminar las claves y reiniciar, ya no persistiera ningun problema, podrías ahoirrarte el sobreescribir dicho sector MR, claro.

Durante estos 3 días de fiesta me conectaré al foro periodicamente, asi que si quieres comentarnos algo, será un placer atenderte.

saludos y hasta la próxima.

ms, 30-10-2010

Renata · Mensaje por **Renata** » 30 Oct 2010, 16:20

Buen día Ms, a punto de reventar puesto que la lentitud de mi locomotora me tenía la borde de una crisis nerviosa, de pronto apareció un aviso que anunciaba una actualización del equipo... la acepté... luego reiniciar y ahora regreso y se encuentra más veloz, diría normal.

Antes de eso apareció una nueva carpeta en D, llamada 966812e9645ed97d2d00e1f4a55f09 la envié a MUESTRAS.

Bajé el el BUSCAREG pero ahora mismo debo salir a cumplir con mi trabajo, regreso 6 de la tarde hora colombiana... esta noche con dedicación y despacito para no embarrarla de nuevo, hago todo lo que me explicas en el post anterior.

Estoy segura que después de esta Odisea con los problemas de mi equipo Satinfo me expedirá un certificado de honor como experta en "caza bichitos" :D

Mil gracias Ms, por dedicarme parte de tu tiempo libre en este largo fin de semana.

Regreso...

Mensaje por **msc hotline sat** » 31 Oct 2010, 06:26

Pues me alegro que, tras la actualización, ya vaya mas rápido, y esperemos que al final del proceso indicado sea suficiente, y sino, ya sabes que nos queda lo de sobreescribir el MBR, pero tiempo al tiempo...

Y por lo menos ya puedes escribir con tu ordenador, que ya es mucho, aunque me temo que si persisten los problemas, tendremos un rootkit en el MBR que nos esté ocultando lo que esté creando molestias, sin que se vea nada en los informes, y es que los rootkits se esconden y esconden lo que quieren, y asi nos ponen mas dificil la detección y desinfección, pero para esto estamos... :roll:

saludos Renata !

ms, 31-10-2010

PD. Te enviado un privado, miralo. ms.

Renata · Mensaje por **Renata** » 31 Oct 2010, 17:30

Ms, listo ya hice lo que me dijiste con el BUSCAREG, copié y pegué las claves, la primera no respondió ni me salió el aviso ELIMINAR, las otras tres restantes si. Reinicié y me salió que el sistema estaba IINSTALANDO ACTUALIZACIONES 1 DE 18.

Con toda la paciencia que hemos tenido en estos días esperé y ahora veo que el pc marcha a la velocidad de un transbordador...

¿Debo ahora psar de nuevo el ELISTARA y demás?

Espero tu respuesta. Te agradezco de corazón por dedicar parte de tus días de descanso a asesorarme.

¡Tengo acentos!

Abrazo.

Mensaje por **msc hotline sat** » 31 Oct 2010, 20:02

Tienes acentos, el ordenador arranca rápido y va como el Enterprise, a ver si ahora no lo atrapas ... :lol:

Pues me alegro, y ya con ello damos por soluciounado el Tema y procedemos a cerrarlo

Ha sido un placer, Renata, y cuando vuelvas a necesiutarnos, ya sabes donde estamos

saludos

ms, 31-10-2010

NOTA: y no, no hace falta pasar el ELISTARA si todo te va bien, dejalo para cuando tengas problemas...

ms.

Mensaje por **msc hotline sat** » 02 Nov 2010, 12:34

NOTA POSTCIERRE:

Recibido el fichero generado por el COPYMBR.EXE, lel codigo del MBR está correcto, como era de esperar si ya todo te va bien, pero dejo constancia de ello para tu conocimiento.

saludos

ms, 2-11-2010

TROYANO CAPRICHOSO (SOLUCIONADO)

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO

Re: TROYANO CAPRICHOSO (SOLUCIONADO)