-
kol12
- Mensajes: 12
- Registrado: 30 Sep 2010, 04:04
Mensaje
por kol12 » 14 Ene 2011, 21:50
Hola estoy por aqui otra ves jje.
Bueno Cuando llegue ah casa mi hermana estaba usando mi pc me dice que acaba de bajar un juego (me quedo algo dudosa de donde lo bajaria y que problema seria ya que ella no sabe mucho sobre esto) luego le digo que me deje ver el juego que ella descargo fue ala carpeta del game ahi ella me dice que abrio el juego y dio un error y que luego abrio un archivo que se llamaba server.exe ella dijo que ese archivo venia aparte del juego y ella lo abrio dice que la salio la pantalla MS-DOS y se cerro enseguida otra ves, tons luego lo abrio de nuevo conmigo prensete lo cual le habia dicho que no lo abriera que revisaria pero era muy tarde y la verda me dio la imprecion de que venia un keyloger en ese archivo llamado server , tons pienso inmediatamente en procurar con ustedes aver si me ayudan y me sacan de duda y me diga si mi pc esta limpia le pasa el Sproces aqui:
SProces v4.9 (c)2010 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Nombre Equipo: ELVIS-C1985725
Nombre Usuario: AdministradorMKL
Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EGUI.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\WINDOWS\SYSTEM32\NTVDM.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOCUMENTS AND SETTINGS\ADMINISTRADORMKL\MIS DOCUMENTOS\DESCARGAS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.do/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: --127.0.0.1 facebook.com
O1 - Hosts: 127.0.0.1 http://www.facebook.com
O1 - Hosts: 127.0.0.1 es-es.facebook.com
O1 - Hosts: 127.0.0.1 touch.facebook.com
O1 - Hosts: 127.0.0.1 myspace.com
O1 - Hosts: 127.0.0.1 http://www.myspace.com
O1 - Hosts: 127.0.0.1 http://www.ebuddy.com
O1 - Hosts: 127.0.0.1 ebuddy.com
O1 - Hosts: 127.0.0.1 web.ebuddy.com
O1 - Hosts: 127.0.0.1 http://www.zylom.com
O1 - Hosts: 127.0.0.1 zylom.com
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CPrintEnhancer Object - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Archivos de programa\HP\Smart Web Printing\SmartWebPrinting.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Bandeja del sistema de ATI CATALYST.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll
Información Adicional:
----------------------
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation
WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
O23 - Service: epfw - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfw.sys
O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Personal Firewall (Epfwndis) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\Epfwndis.sys
O23 - Service: GMSIPCI - Unknown owner - D:\INSTALL\GMSIPCI.SYS (file missing)
O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys
O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys
O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
26 Servicios.
9 de Carga Automatica.
16 de Carga Manual.
1 Deshabilitados.
Si queiren le paso el Elistara y sus compañeros y el HijackThis o cualquier otro que me recomiendo
saludos y gracias
En estas linea del Sproces:
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: --127.0.0.1 facebook.com
O1 - Hosts: 127.0.0.1 http://www.facebook.com
O1 - Hosts: 127.0.0.1 es-es.facebook.com
O1 - Hosts: 127.0.0.1 touch.facebook.com
O1 - Hosts: 127.0.0.1 myspace.com
O1 - Hosts: 127.0.0.1 http://www.myspace.com
O1 - Hosts: 127.0.0.1 http://www.ebuddy.com
O1 - Hosts: 127.0.0.1 ebuddy.com
O1 - Hosts: 127.0.0.1 web.ebuddy.com
O1 - Hosts: 127.0.0.1 http://www.zylom.com
O1 - Hosts: 127.0.0.1 zylom.com
Soy yo que tengo esa configuracion para bloquear esas paginas jej tengo mis razones :mrgreen:
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 15 Ene 2011, 10:23
Vemos que no ha descargado el SPROCES 5.0, se lo aconsejamos por sus mejores prestaciones...
Y en el log, aparte de las entradas el el HOSTS que dice son voluntarias, solo hay este driver que aparenta ser de Realtek, pero que en ocasiones es un FAKE driver:
Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys
envienoslo y lo analizaremos
>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
Sobre "sus" entradas en el HOSTS, si quiere mantenerlas, cuidado con el ELISTARA, que a la mínima le dejará solo la del LOCALHOST. En todo caso cree una copia de su fichero HOSTS y tras probar el ELISTARA vuelva a copiar en el nuevo HOSTS la copia salvada.
Recuerde que el HOSTS está en C:\windows\system32\drivers\etc\
Tras ello, posteenos el contenido de c:\infosat.txt que le habrá creado dicho ELISTARA
saludos
ms, 15-1-2011
RDOMSD
-
kol12
- Mensajes: 12
- Registrado: 30 Sep 2010, 04:04
Mensaje
por kol12 » 16 Ene 2011, 03:37
Buenas ya he enviado el archivo puse mi nick y post para que me reconozcan mas rapido
aqui le pase el sproces 5.0 como dijieron:
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Nombre Equipo: ELVIS-C1985725
Nombre Usuario: AdministradorMKL
Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EGUI.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE
C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\DOCUMENTS AND SETTINGS\ADMINISTRADORMKL\MIS DOCUMENTOS\DESCARGAS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.do/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O1 - Hosts: 127.0.0.1 facebook.com
O1 - Hosts: 127.0.0.1 www.facebook.com
O1 - Hosts: 127.0.0.1 es-es.facebook.com
O1 - Hosts: 127.0.0.1 touch.facebook.com
O1 - Hosts: 127.0.0.1 myspace.com
O1 - Hosts: 127.0.0.1 www.myspace.com
O1 - Hosts: 127.0.0.1 www.ebuddy.com
O1 - Hosts: 127.0.0.1 ebuddy.com
O1 - Hosts: 127.0.0.1 web.ebuddy.com
O1 - Hosts: 127.0.0.1 www.zylom.com
O1 - Hosts: 127.0.0.1 zylom.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Archivos de programa\HP\Smart Web Printing\SmartWebPrinting.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - Global Startup: Bandeja del sistema de ATI CATALYST.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
Información Adicional:
----------------------
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation
WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
O23 - Service: epfw - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfw.sys
O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Personal Firewall (Epfwndis) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\Epfwndis.sys
O23 - Service: GMSIPCI - Unknown owner - D:\INSTALL\GMSIPCI.SYS (file missing)
O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys
O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys
O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
23 Servicios.
7 de Carga Automatica.
15 de Carga Manual.
1 Deshabilitados.
Aqui El EliStarA :
(31-12-2010 23:59:42 (GMT))
EliStartPage v22.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Enero del 2011)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado HOSTS no Standar.
Restaurado HOSTS por Defecto.
(1-1-2011 00:05:21 (GMT))
EliStartPage v22.39 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Enero del 2011)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 4469
Nº Total de Ficheros: 104947
Nº de Ficheros Analizados: 14845
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Saludos :mrgreen:
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 16 Ene 2011, 09:45
Bien, pues mañana, cuando volvamos al trabajo en SATINFO, analizaremos el fichero que nos has enviado e informaremos del resultado.
Ahora, ya que estás usando el SPROCES 5.0, pulsa en SCAN, selecciona esta clave:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
y dale a eliminar.
Pero cuidado con el HOSTS !:
Como indiqué, el ELISTARA ha detectado anomalías (aunque voluntarias en este caso) y las ha corregido, restaurando el HOSTS por defecto:
Detectado HOSTS no Standar.
Restaurado HOSTS por Defecto.
Si hiciste la copia como se te indicó, restaurala si quieres volver a bloquear dichas URL.
Y dinos si tras hacer lo indicado y reiniciar percibes alguna anomalía, a la espera del analisis de mañana, gracias
saludos
ms, 16-1-2011
NOTA: Siempre cabe que un Rootkit esconda un keylogger, el cual no sería visto, pero no es lo habitual... ms.
-
kol12
- Mensajes: 12
- Registrado: 30 Sep 2010, 04:04
Mensaje
por kol12 » 16 Ene 2011, 18:27
cuando le pulso en scan no me sale O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
Igual que otros solo salen unos pocos pero en el SprocLog.txt me salen todos no so por que en el scan no.
si ya sabia que elistara hacia eso por eso cuando le paso el elistara copio el host.
hasta ahora no he visto ninguna anomalía aunque puede estar oculto pero no creo todo hasta hora anda bien, espera el resultado saludos gracias.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 16 Ene 2011, 18:41
Posiblemente por estar el fichero en FILE MISSING (oculto o ausente)
Prueba con el BUSCAREG, busca msmsgs.exe y mira si encuentras dicha clave y dando doble click en la linea encontrada, elimina la clave en cuestion.
Y si tras ello reinicias y ya no tienes mas problema, dinoslo y daremos el Tema por solucionado.
saludos
ms, 16-1-2011
-
kol12
- Mensajes: 12
- Registrado: 30 Sep 2010, 04:04
Mensaje
por kol12 » 16 Ene 2011, 22:43
Ya he eliminado la linea,todo me andaba bien no he notado nada hasta ahora todo muy bien , msc el archivo que les envies tengo que eliminar o no es un archivo malisioso se puede dejar y muchas gracias por su ayudan son los mejores , si pasa algo les hago saber con otro post, o cualquier problema que tenga saludos, sacame la duda sobre el archivo que les envies si lo elimino o lo dejo saludos :mrgreen:
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 17 Ene 2011, 06:58
Dejanos primero que lo analicemos ...
Puede ser un driver de Realtek o un malware que utilice su nombre, de lo cual hay precedentes.
tras recibirlo y analizarlo, informaremos del resultado
saludos
ms, 17-1-2011
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 17 Ene 2011, 13:10
Pues analizado el fichero enviado, ha resultado ser de Realtek, asi que nada que hacer al respecto:
publisher....: Realtek Semiconductor Corporation
copyright....: Copyright (C) 2003-2006 Realtek Semiconductor Corporation
product......: Realtek 10/100/1000 NIC Family all in one NDIS Driver
description..: Realtek 10/100/1000 NDIS 5.1 Driver
original name: Rtnicxp.sys
internal name: Rtnicxp.sys
file version.: 5,641,0209,2006 built by: WinDDK
Deje este fichero como está, y diganos si ahora persiste alguna anomalia, gracias
saludos
ms, 17-1-2011
-
kol12
- Mensajes: 12
- Registrado: 30 Sep 2010, 04:04
Mensaje
por kol12 » 17 Ene 2011, 18:39
bueno amigo entonces ningun problema con el archivo gracias, todo me esta andado muy bien no he notado nada raro Gracias por su ayuda se le agradece saludos, si tengo algun problema se los hago saber bye y gracias de nuevo :mrgreen:
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 17 Ene 2011, 20:11
Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 17-1-2011
msc hotline sat Virus Research Engineer