Me aparece un contacto en el messenger que nunca agregue. AYUDA (TERMINADO)

[beatriz42]

Buenas tardes, no sé si esta pregunta me la podeis contestar en éste foro, resulta que me aparece un contacto que nunca agrege en mi lista de contactos de messenger. El contacto es: support.service@live.com la cosa es que lo borro y en un tiempo vuelve a aparecer, le hago click con el boton derecho del mouse y se ve que no me tiene agregado (aparece en negrita la palabra "eliminar") no hay caso lo he borrado muchas veces pero no se puede, se vuelve agregar solo. esto que significa? que alguien me hackeo mi cuenta? y la esta usando? o es algún virus que tengo por ahi que haga eso (escanee con el antivirus, antispiware y todo el atao y no encontro nada) como podre hacer para que no vuelva a aparecer y lo que me intriga mas es, como se agrega solo?. Tengo otras cuentas de messenger que eso no me ocurre.



Gracias

[msc hotline sat]

Podría tratarse de algun malware, claro...



Descarga el ELISTARA y tras probarlo nos postas el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, envianos el log generado por el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 2-12-2010

[beatriz42]

Gracias por contestar, te pego el log del Elistara y también del SProcLog. No los he pasado a modo seguro sino normal, si es necesario a modo seguro indicamelo y lo hago nuevamente.



(2-12-2010 21:30:43 (GMT))

EliStartPage v22.14 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 02 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-12-2010 21:52:29 (GMT))

EliStartPage v22.14 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 02 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5834

Nº Total de Ficheros: 61439

Nº de Ficheros Analizados: 25154

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-12-2010 21:53:02 (GMT))

EliStartPage v22.14 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 02 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 101

Nº Total de Ficheros: 1245

Nº de Ficheros Analizados: 74

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-12-2010 21:55:08 (GMT))

EliStartPage v22.14 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 02 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 1212

Nº Total de Ficheros: 26133

Nº de Ficheros Analizados: 1040

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





(2-12-2010 22:38:06 GMT)

SProces v4.9 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: LUPE-2008

Nombre Usuario: Lupe



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\NEWS\NEWSUPD.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\AUDIO2K\PROGRAM\CTMIX32.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LCOMMGR\COMMUNICATIONS_HELPER.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\UDATERUI.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\SHSTAT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\MCTRAY.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVCOMSER\LVCOMSER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVMVFM\LVPRCSRV.EXE

C:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\FRAMEWORKSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\MCSHIELD.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\VSTSKMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVCOMSER\LVCOMSER.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\DOCUMENTS AND SETTINGS\LUPE\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan Enterprise\scriptcl.dll

O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\ARCHIV~1\WI9130~1\ToolBar\SearchquDx.dll (file missing)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: BandooIEPlugin Class - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Archivos de programa\Fun4IM\Plugins\IE\ieplugin.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NewsUpd] C:\Archivos de programa\Creative\News\NewsUpd.EXE /q

O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [CreativeMixer] C:\Archivos de programa\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes -

O16 - DPF: Microsoft XML Parser for Java -

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} (Java Plug-in 1.4.2_06) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: c:\archiv~1\fun4im\bndhook.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

WinSys\Drivers\ati2mtag.sys (de 576512 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\Lvckap.sys (de 689176 bytes) () Logitech Inc.

WinSys\Drivers\lvrs.sys (de 768024 bytes) () Logitech Inc.

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\PRISMNDS.sys (de 676352 bytes) () GlobespanVirata, Inc.

WinSys\Drivers\PRISMUSB.sys (de 666624 bytes) () GlobespanVirata, Inc.

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Fun4IM Coordinator - Unknown owner - C:\ARCHIV~1\Fun4IM\Bandoo.exe (file missing)

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LVCOMSer - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: PfModNT - Creative Technology Ltd. - C:\WINDOWS\System32\PfModNT.sys

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Windows Internet Name Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Creative AudioPCI (ES1371,ES1373) (WDM) (es1371) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\es1371mp.sys

O23 - Service: UVC Filter Service (FilterService) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lvuvcflt.sys

O23 - Service: Logitech AEC Driver (LVcKap) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVcKap.sys

O23 - Service: Logitech LVPr2Mon Driver (LVPr2Mon) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVPr2Mon.sys

O23 - Service: Logitech RightSound Filter Driver (LVRS) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lvrs.sys

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech Inc. - C:\WINDOWS\SYSTEM32\drivers\LVUSBSta.sys

O23 - Service: Logitech QuickCam S5500(UVC) (LVUVC) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lvuvc.sys

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\system32\drivers\mbam.sys

O23 - Service: McAfee Inc. (mfeapfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeapfk.sys

O23 - Service: McAfee Inc. (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. (mfehidk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfehidk.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: D-Link Air Wireless USB Adapter Driver (PRISM_USB) - GlobespanVirata, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PRISMUSB.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Controlador de sonido SB AudioPCI (WDM) (sbpci) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\sbpci.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

O23 - Service: SAMSUNG USB Composite Device driver (WDM) (sscdbus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sscdbus.sys

O23 - Service: SAMSUNG Mobile Modem Filter (sscdmdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sscdmdfl.sys

O23 - Service: SAMSUNG Mobile Modem Drivers (sscdmdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sscdmdm.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)



44 Servicios.

17 de Carga Automatica.

25 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

Hay lanzamientos sospechosos:



C:\ARCHIV~1\Fun4IM\Bandoo.exe



C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe



C:\Archivos de programa\Fun4IM\Plugins\IE\ieplugin.dll



C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll





Mira si encuentras estos ficheros (que pueden estar ocultos), les añades .VIR al final de su extension y nos los envias para analizar. Recuerda que disponemos del ELIMOVER para, introduciendo con un copiar y pegar las lineas indicadas (ruta y fichero), si lo hay, moverlo a C:\muestras sin atributos, desde donde te será mas facil enviarnoslas.



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware





y si no los encontraras, elimina dichas claves, buscando, con el BUSCAREG, las que contengan cada uno de los dos nombres de ficheros (Bandoo.exe y wins.exe), y pulsando en la clave encontrada, ver si coincide con la carga de la ruta/nombre buscada, y con doble click sobre ella luego aceptar en eliminarla.



BUSCAREG:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



Luego reinicia y nos cuentas el resultado, gracias



saludos



ms, 3-12-2010





NOTA: y para el envio de muestras:







>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 3-12-2010

[beatriz42]

Hola buenas noches. Te cuento lo que he podido hacer y lo que no me ha dejado hacer de lo que me indicas.

Los archivos estos no los he encontrado en el ordenador, pero creo que estos ya los elimine en otro problema que os plantee y que resultó ser un troyano y gracias a vosotros pude eliminar, os pego el enlace:



https://foros.zonavirus.com/viewtopic.php?f=13&t=33800



C:\ARCHIV~1\Fun4IM\Bandoo.exe

C:\WINDOWS\system32\config\systemprofile\Configuración local\Datos de programa\Windows Internet Name Service\wins.exe

C:\Archivos de programa\Fun4IM\Plugins\IE\ieplugin.dll



De estos no he tenido problemas para borrar con el BuscaReg los registros de estos archivos te pego el log:



Sun Dec 05 23:42:29 2010

BuscaReg v1.0 (c)2003 S.G.H. / Satinfo S.L.

--------------------------------------------

LISTADO de Entradas de Registro Eliminadas a petición del Usuario.



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4410C118-B23C-406C-9F52-9CDABD90A5EA}\1.0\0\win32]

@="C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{074E4EFE-81BB-4EA4-866E-082CB0E01070}\LocalServer32]

@="\"C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0CE5B352-9D9C-41E1-9551-FCCD92820217}\LocalServer32]

@="\"C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{167B2B5F-2757-434A-BBDA-2FDB2003F14F}\LocalServer32]

@="\"C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E9A60EA-5554-49C3-BC9D-D0404DBACC62}\LocalServer32]

@="\"C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E63C9BC-DD51-4E83-ABA6-B350EAD28531}\LocalServer32]

@="\"C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44CFFEF4-E7E1-44BD-B1F5-29F828ADA1B8}\LocalServer32]

@="\"C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF2B6317-C367-401B-83B8-80302D6588A7}\LocalServer32]

@="\"C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5379B4B-24D8-432A-9A96-BE75EE5117DB}\LocalServer32]

@="\"C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F7FB2BC4-6C27-4EAC-B5E2-037B71FDE101}\LocalServer32]

@="\"C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD53FE35-4368-4B71-89D6-F29F3DB29DF1}\LocalServer32]

@="\"C:\\ARCHIV~1\\Fun4IM\\Bandoo.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}]

"AppName"="Bandoo.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bandoo]

"DisplayIcon"="C:\\Archivos de programa\\Fun4IM\\Bandoo.exe"

[HKEY_USERS\S-1-5-21-1229272821-813497703-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603]

"002"="bandoo.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\config\\systemprofile\\Configuración local\\Datos de programa\\Windows Internet Name Service\\wins.exe"="C:\\WINDOWS\\system32\\config\\systemprofile\\Configuración local\\Datos de programa\\Windows Internet Name Service\\wins.exe:*:Enabled:Windows Internet Name Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\Documents and Settings\\Lupe\\Configuración local\\Temp\\Rar$EX00.456\\wins.exe"="C:\\Documents and Settings\\Lupe\\Configuración local\\Temp\\Rar$EX00.456\\wins.exe:*:Enabled:Windows Internet Name Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\config\\systemprofile\\Configuración local\\Datos de programa\\Windows Internet Name Service\\wins.exe"="C:\\WINDOWS\\system32\\config\\systemprofile\\Configuración local\\Datos de programa\\Windows Internet Name Service\\wins.exe:*:Enabled:Windows Internet Name Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\Documents and Settings\\Lupe\\Configuración local\\Temp\\Rar$EX00.456\\wins.exe"="C:\\Documents and Settings\\Lupe\\Configuración local\\Temp\\Rar$EX00.456\\wins.exe:*:Enabled:Windows Internet Name Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\config\\systemprofile\\Configuración local\\Datos de programa\\Windows Internet Name Service\\wins.exe"="C:\\WINDOWS\\system32\\config\\systemprofile\\Configuración local\\Datos de programa\\Windows Internet Name Service\\wins.exe:*:Enabled:Windows Internet Name Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\Documents and Settings\\Lupe\\Configuración local\\Temp\\Rar$EX00.456\\wins.exe"="C:\\Documents and Settings\\Lupe\\Configuración local\\Temp\\Rar$EX00.456\\wins.exe:*:Enabled:Windows Internet Name Service"

[HKEY_USERS\S-1-5-21-1229272821-813497703-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603]

"001"="wins.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}\InprocServer32]

@="C:\\Archivos de programa\\Fun4IM\\Plugins\\IE\\ieplugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{62E5C9E1-A0E8-4F8C-8EAF-0F9250CC5786}\1.0\0\win32]

@="C:\\Archivos de programa\\Fun4IM\\Plugins\\IE\\ieplugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{22BF413B-C6D2-4D91-82A9-A0F997BA588C}]

"DllName"="SkypeIEPlugin.dll;SkypeIEPlugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{77BF5300-1474-4EC7-9980-D32B190E9B07}]

"DllName"="SkypeIEPlugin.dll;SkypeIEPlugin.dll"



El archivo éste C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll, si está en mi ordenador pero no hay forma de cambiarle la extensión. Ni arrancando el ordenador normal ni a modo seguro. A modo seguro sólo me aparecen estos procesos funcionando:



csrss.exe

explorer.exe

lsass.exe

services.exe

smss.exe

svchost.exe

svchost.exe

svchost.exe

System

taskmgr.exe

winlogon.exe



De ésta dll no he borrado ninguna cadena con el BuscaReg, ni tampoco os he enviado la muestra hasta que no me digas que hago con él.



Gracias.

[beatriz42]

Perdona pero me salté hacer lo que me indicabas con el ELIMOVER. Ya lo he hecho y en el que os mando si pude cambiar la extensión DLL por VIR pero el que tengo en mi ordenador sigue con la extensión DLL porque como te he comentando anteriormente no me deja cambiarla ni a modo seguro. Os envio la muestra.



Gracias.

[msc hotline sat]

Pues a la vuelta al trabajo el proximo dia 9, analizaremos lo que nos envias.



SI ya has añadido .VIR a su extension, ya no se cargará a partir del proximo reincio, dinos si persiste la anomalia tras ello.



Y el acroiehelpershim.dll, puede que sea realmente un driver de ADOBE, habría que verlo para confirmarlo, pero si ya no tienes problemas, consideraremos que lo es.



Esperamos tus noticias.



saludos



ms, 6-12-2010

[beatriz42]

Hola de nuevo.

El archivo acroiehelpershim.dll en mi ordenador lo tengo aún con dll, ya te comenté que no puedo cambiarle la extensión a VIR ni a modo seguro.

Hoy he abierto el msn y ese contacto que se me agrega solo no ha aparecido. Estaré observándolo hasta el dia 9 que os incorporais al trabajo y ya te comentaré.



Gracias

[msc hotline sat]

Bien, y sobre el fichero que no puedes renombrar, puede ser que sea de ADOBE como hemos dicho, y que sea una caracteristica del mismo al estar en uso.



Pues a ver si ya no aparece el enlace, y el jueves analizamos los ficheros que nos has enviado e informaremos al respecto.



saludos



ms, 6-12-2010

[msc hotline sat]

Recibido el unico fichero que al parecer nos has enviado, es de ADOBE y lo puedes dejar estar, no es el culpable:



O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll



File name: AcroIEHelperShim.dll

Submission date: 2010-12-06 19:22:55 (UTC)

Current status: finished

Result: 0 /43 (0.0%)



MD5 : 203a74767eb81f96a5166b1933db46d0

SHA1 : d6c4bf5da3ec875ee2de3b1cc1e21c3f0e10910a



File size : 75200 bytes



publisher....: Adobe Systems Incorporated

copyright....: Copyright 1984-2010 Adobe Systems Incorporated and its licensors. All rights reserved.

product......: AcroIEHelperShim Library

description..: Adobe PDF Helper for Internet Explorer

original name: AcroIEHelperShim.DLL

internal name: AcroIEHelperShim

file version.: 9.4.0.195



Posiblemente los otros que pediamos y que ya eliminaste con otras herramientas, eran los que te molestaban , pero si ya los has eliminado, no podemos ya analizarlos y ver las posibles modificaciones que tenían programadas, asi que damos por terminado el Tema y procedenos a cerrarlo.



Otra vez, si nos pides ayuda, mejor es no hacer nada que no te digamos, pues de lo contrario puede ser que impidas la ayuda, como en este caso.



saludos



ms, 9-12-2010