Ayuda con una infeccion
Ayuda con una infeccion
Mi portatil se infecto con el virus venom, con la ayuda del antivirus antivenom y el programa eli star que ustedes proporcionan (gracias), pude salir de esa infeccion, sin embargo dos meses despues mi computadora se volvio a infectar con un virus parecido que oculta las carpetas y crea accesos directos y que a diferencia de venom si funciona el notepad, el archivo que mas aparece tiene por nombre MiUKa hay un exe, un .inf y un .ini sin embargo a pesar de borrarlo y de probar con eli star no puedo salir de esa infeccion, podrian ayudarme?
Re: Ayuda con una infeccion
Hola.
Si pasaste el Elistara, postea los resultados que se encuentran en c:\infosat.txt
Abres el archivo, copias el contenido y lo pegas en tu siguiente post.
Y para ver los procesos bájate el[url=http://www.zonavirus.com/descargas/descargar-sproces.asp]SProcess[/url] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b]
Luego, te bajas el[url=http://www.zonavirus.com/descargas/descargar-elipen.asp]Elipen[/url] con el que debes "vacunar" tus usb's y el disco C: de tu máquina.
Una vez hecho esto, debes poner la unidad usb (o la que corresponda) que tiene los datos con los iconos de accesos directos, ir a Opciones de carpeta y que muestre los archivos ocultos. Ahí tendrás toda la información real. Después de borrar los archivos malos (los .exe con el acceso directo de marras), seleccionas los ocultos, te vas a propiedades con el botón derecho del mouse y desmarcas la casilla "Ocultos".
[b][color=#800000]Ojo!!! Cuidado con los archivos que vayas a borrar, no sea que borres los que no debas.[/color] [/b]
[color=#0040BF]Si no tienes claro lo que te indico, pregunta.[/color]
Si pasaste el Elistara, postea los resultados que se encuentran en c:\infosat.txt
Abres el archivo, copias el contenido y lo pegas en tu siguiente post.
Y para ver los procesos bájate el
Luego, te bajas el
Una vez hecho esto, debes poner la unidad usb (o la que corresponda) que tiene los datos con los iconos de accesos directos, ir a Opciones de carpeta y que muestre los archivos ocultos. Ahí tendrás toda la información real. Después de borrar los archivos malos (los .exe con el acceso directo de marras), seleccionas los ocultos, te vas a propiedades con el botón derecho del mouse y desmarcas la casilla "Ocultos".
Saludos.
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con una infeccion
Habrán muchas variantes de este troyano, como de todos, de cualquier forma mira lo que se dijo en su día:
saludos
ms, 10-2-2011
RMXOXA
[quote="msc"]
virus VenoM.Lucifer
Síntomas
La nueva versión presenta los siguientes síntomas:
Al intentar ejecutar o abrir archivos de extensión .inf, .ini, .js, .msc, .txt, .vbe y .vbs muestra el siguiente mensaje: "La fuente de voltaje no es suficiente para el correcto funcionamiento , QUÉMATE EN EL INFIERNO UN RATO e intentelo mas tarde." y una pantalla negra que muestra la palabra VenoM? formada por ceros.
Crea diversas claves en el registro con la frase: "Tú has sido derrotado de nuevo por VenoM"
Impide la ejecución de los siguientes ejecutables:
notepad.exe
cmd.exe
ibprocman.exe
explorer.exe
integrator.exe.exe
HijackThis.exe
wordpad.exe
rstrui.exe
msconfig.exe
regedit.exe
HiJackthis_v2.exe
Deshabilita la Búsqueda de Windows, la ventana de Propiedades de Mi PC, la Papelera de Reciclaje y oculta las Opciones de Carpeta. No permite ver archivos ocultos, del sistema, ni las extensiones de archivos.
Se copia a dispositivos de almacenamiento externo como memorias Flash USB, discos duros externos, etc.
Registra un controlador o driver como "driver lucifer (Satanas Resurrection Of The Hell 'Black Metal')".
Genera archivos ejecutables de 54 KB (algunas personas reportan tamaños diferentes) con icono de carpeta. Estos archivos ejecutables se crean dentro de la carpeta Mis Documentos y todas las carpetas dentro de ésta, creando un ejecutable (del mismo nombre de la carpeta) por cada carpeta existente.
Métodos de Propagación
Aparentemente este malware se propaga por medio de dispositivos de almacenamiento externo, como memorias USB, discos duros externos, etc.
Método de Desinfección (en sistemas Windows XP)
Actualizado al 7 de Septiembre, 2008: Ahora pueden usar la herramienta AntiVenoM, creada por Otr3puR, para desinfectar sus sistemas automáticamente:http://rapidshare.com/files/142926018/APG_AntiVenoM_6.1.0.10.exe
Las siguientes instrucciones siguen disponibles para las personas que las encuentren útiles.
Las siguientes instrucciones son para Windows XP. Actualmente desconozco si esta versión de VenoM.Lucifer afecta a otras versiones de Windows. Hasta ahora no he visto reportes de usuarios que digan que afecten a Windows Vista u otras versiones.
Para la desinfección es necesario descargar la herramienta EliStarA (versión 16.84 o superior), que puede ser obtenida aquí:http://www.zonavirus.com/descargas/elistara.asp
Una vez descargado EliStarA sólo hay que ejecutarlo. Cuando EliStarA nos pregunte si deseamos limpiar el archivo HOSTS seleccionamos “Sí”. Esto debido a que VenoM agrega varias entradas al archivo HOSTS. Las demás preguntas que EliStarA hace con relación a Internet Explorer las podemos responder según lo consideremos útil (preguntará si deseamos eliminar las páginas de inicio y búsqueda y los archivos temporales, pero ninguna de estas tiene relación con esta variante de VenoM).
Cuando aparezca la ventana principal de EliStarA, éste probablemente ya habrá iniciado el escaneo y procederá a eliminar los archivos pertenecientes a VenoM que encuentre por el sistema, siempre y cuando la casilla “Eliminar ficheros automáticamente” esté seleccionada.
EliStarA hace todo el trabajo pesado por nosotros, matando procesos, borrando archivos, eliminando entradas del registro, restaurando configuraciones, etc. Hace un buen trabajo pero deja algunas entradas en el registro sin restaurar que pueden resultar molestas si no las cambiamos. Por ejemplo, cada vez que queramos abrir un archivo .txt, nos aparecerá un errorm pues en la información del registro se apunta a uno de los archivos de VenoM que fue eliminado por EliStarA Fuente: Arwing
[img]
http://img85.imageshack.us/img85/3052/barrehorizontale55xx0.gif [/img]
Parece ser que usa como gusano este fichero:
VenoM.exe
y este LucifeR.exe
( que parece se copia a pendrives y unidades removibles, dentro de una carpeta oculta con nombre "System Volume Information", que no es la del Restore ! y dicho fichero tiene icono de carpeta ...! )
Buscalos con Inicio -> Buscar -> en todas las carpetas y ficheros seleccionando en opciones avanzadas archivos ocultos y de sistema, y si los encuentra envianoslos para analizar y controlar, pues parece que hay esta nueva variante que se propaga por pendrive, y puede ser la que ahora tienes.[b]¿Como enviar las muestras a zonavirus? - Para ello recordar: [/b] https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Y revisa tus pendrives ... y vacuna tus ordenadores y pendrives con el ELIPEN:
vacune todas sus unidades de disco y pendrive con el ELIPEN:[b]ELIPEN.EXE[/b] http://www.zonavirus.com/descargas/elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]
saludos
ms, 10-2-2011
RMXOXA
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Ayuda con una infeccion
(15-2-2011 06:32:06 GMT)
SProces v5.0 (c)2010 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) NO Instalado.
Internet Explorer: (v7.0.5730.13) 0
Nombre Equipo: MIS_BEBES
Nombre Usuario: CBWS
Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ROXIO\BACKONTRACK\INSTANT RESTORE\BOTSERVICE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST5\AVASTSVC.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\IDT\WDM\STACSV.EXE
C:\ARCHIVOS DE PROGRAMA\ROXIO\BACKONTRACK\DISASTER RECOVERY\SAIBSVC.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\ENGINE\16.0.0.125\CCSVCHST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\ENGINE\16.0.0.125\CCSVCHST.EXE
C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM32\HKCMD.EXE
C:\WINDOWS\SYSTEM32\IGFXPERS.EXE
C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE
C:\ARCHIVOS DE PROGRAMA\IDT\WDM\STTRAY.EXE
C:\WINDOWS\SYSTEM32\AESTFLTR.EXE
C:\ARCHIVOS DE PROGRAMA\HP\HPBTWD.EXE
C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\SYNCABLES\SYNCABLES DESKTOP\SYNCABLES.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\DEFAULT MANAGER\DEFMGR.EXE
C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP WIRELESS ASSISTANT\HPWAMAIN.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\SYNCABLES\SYNCABLES DESKTOP\JRE\BIN\JAVAW.EXE
C:\ARCHIV~1\ALWILS~1\AVAST5\AVASTUI.EXE
C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\SHARED\HPQWMIEX.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\DOCUMENTS AND SETTINGS\CBWS\MIUKAA.EXE
C:\ARCHIVOS DE PROGRAMA\SYNCABLES\SYNCABLES DESKTOP\MIGOMAPI.EXE
C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\SHARED\HPQTOASTER.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\ARCHIVOS DE PROGRAMA\MSN\TOOLBAR\3.0.0559.0\MSNTASK.EXE
C:\ARCHIVOS DE PROGRAMA\AOL\AOL TOOLBAR 5.0\AOLTBSERVER.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
E:\TROYANO\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
F2 - REG:system.ini: Taskman=C:\RECYCLER\S-1-5-21-9723113057-2972004151-915300738-4850\services.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Archivos de programa\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Archivos de programa\Norton Internet Security\Engine\16.0.0.125\IPSBHO.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Archivos de programa\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Microsoft Live Search Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - c:\Archivos de programa\MSN\Toolbar\3.0.0559.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Archivos de programa\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Archivos de programa\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: Microsoft Live Search Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - c:\Archivos de programa\MSN\Toolbar\3.0.0559.0\msneshellx.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [miukaa] C:\Documents and Settings\CBWS\miukaa.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [AESTFltr] %SystemRoot%\system32\AESTFltr.exe /NoDlg
O4 - HKLM\..\Run: [HP BTW Detect Program] C:\Archivos de programa\HP\HPBTWD.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Syncables] C:\Archivos de programa\syncables\syncables desktop\Syncables.exe
O4 - HKLM\..\Run: [Microsoft Default Manager] "c:\Archivos de programa\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avast5] C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O8 - Extra context menu item: &AOL Toolbar Buscar - C:\Documents and Settings\All Users\Datos de programa\AOL\ieToolbar\resources\es-ES\local\search.html
O8 - Extra context menu item: &Buscar con AOL Toolbar - C:\Documents and Settings\All Users\Datos de programa\AOL\ieToolbar\resources\es-MX\local\search.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1284495581609
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_11) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
Información Adicional:
----------------------
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation
WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation
WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Roxio SAIB Service (9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269) - Unknown owner - C:\Archivos de programa\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: BOTService - Sonic Solutions - C:\Archivos de programa\Roxio\BackOnTrack\Instant Restore\BOTService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: Norton Internet Security - Unknown owner - C:\Archivos de programa\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "C:\Archivos de programa\Norton Internet Security\Engine\16.0.0.125\diMaster.dll (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\archivos de programa\idt\wdm\STacSV.exe
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: AE Audio Service (AESTAud) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AESTAud.sys
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Controlador del adaptador de red Broadcom 802.11 (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EraserUtilRebootDrv - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (L1c) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\l1c51x86.sys
O23 - Service: NAVENG - Symantec Corporation - C:\Documents and Settings\All Users\Datos de programa\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS
O23 - Service: NAVEX15 - Symantec Corporation - C:\Documents and Settings\All Users\Datos de programa\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: RTS5121.Sys Realtek USB Card Reader (RSUSBSTOR) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\RTS5121.sys (file missing)
O23 - Service: Realtek IR Driver (Rts516xIR) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\Rts516xIR.sys (file missing)
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: USB Composite Device driver (WDM) (slabbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\slabbus.sys
O23 - Service: USB Data Cable Drivers (slabser) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\slabser.sys
O23 - Service: SRTSP - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSP.SYS
O23 - Service: IDT High Definition Audio CODEC (STHDA) - IDT, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys
O23 - Service: SYMDNS - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMDNS.SYS
O23 - Service: SymEvent - Symantec Corporation - C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
O23 - Service: SYMFW - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMFW.SYS
O23 - Service: SYMIDS - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMIDS.SYS
O23 - Service: Symantec Network Security Intermediate Filter Service (SymIM) - Symantec Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys
O23 - Service: SymIMMP - Symantec Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys
O23 - Service: SYMNDIS - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMNDIS.SYS
O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMREDRV.SYS
O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys
O23 - Service: Realtek Smartcard Reader Driver (USBCCID) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\Rts5161ccid.sys (file missing)
Listado de Servicios (Deshabilitados):
--------------------------------------
O23 - Service: Controlador de filtro de bus AMD AGP (amdagp) - Advanced Micro Devices, Inc. - C:\WINDOWS\system32\DRIVERS\amdagp.sys
O23 - Service: asc - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc.sys
O23 - Service: asc3550 - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc3550.sys
O23 - Service: CmdIde - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys
O23 - Service: dac2w2k - Mylex Corporation - C:\WINDOWS\system32\DRIVERS\dac2w2k.sys
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys
O23 - Service: mraid35x - American Megatrends Inc. - C:\WINDOWS\system32\DRIVERS\mraid35x.sys
O23 - Service: ql1080 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1080.sys
O23 - Service: ql12160 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql12160.sys
O23 - Service: ql1280 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1280.sys
O23 - Service: Filtro de bus SIS AGP (sisagp) - Silicon Integrated Systems Corporation - C:\WINDOWS\system32\DRIVERS\sisagp.sys
O23 - Service: Sparrow - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\sparrow.sys
O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\system32\DRIVERS\symc810.sys
O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\system32\DRIVERS\symc8xx.sys
O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_hi.sys
O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_u3.sys
O23 - Service: ultra - Promise Technology, Inc. - C:\WINDOWS\system32\DRIVERS\ultra.sys
57 Servicios.
7 de Carga Automatica.
31 de Carga Manual.
19 Deshabilitados.
El archivo al que me refiero es:
C:\DOCUMENTS AND SETTINGS\CBWS\MIUKAA.EXE
O4 - HKCU\..\Run: [miukaa] C:\Documents and Settings\CBWS\miukaa.exe
este me lo encontro el process, pero ni elistara ni elipen lo detectan, es es que me genera los ejecutables supongo y un .ini con el mismo nombre.
Como puedo erradicarlo?
SProces v5.0 (c)2010 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) NO Instalado.
Internet Explorer: (v7.0.5730.13) 0
Nombre Equipo: MIS_BEBES
Nombre Usuario: CBWS
Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ROXIO\BACKONTRACK\INSTANT RESTORE\BOTSERVICE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST5\AVASTSVC.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\IDT\WDM\STACSV.EXE
C:\ARCHIVOS DE PROGRAMA\ROXIO\BACKONTRACK\DISASTER RECOVERY\SAIBSVC.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\ENGINE\16.0.0.125\CCSVCHST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\ENGINE\16.0.0.125\CCSVCHST.EXE
C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM32\HKCMD.EXE
C:\WINDOWS\SYSTEM32\IGFXPERS.EXE
C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE
C:\ARCHIVOS DE PROGRAMA\IDT\WDM\STTRAY.EXE
C:\WINDOWS\SYSTEM32\AESTFLTR.EXE
C:\ARCHIVOS DE PROGRAMA\HP\HPBTWD.EXE
C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\SYNCABLES\SYNCABLES DESKTOP\SYNCABLES.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\DEFAULT MANAGER\DEFMGR.EXE
C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP WIRELESS ASSISTANT\HPWAMAIN.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\SYNCABLES\SYNCABLES DESKTOP\JRE\BIN\JAVAW.EXE
C:\ARCHIV~1\ALWILS~1\AVAST5\AVASTUI.EXE
C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\SHARED\HPQWMIEX.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\DOCUMENTS AND SETTINGS\CBWS\MIUKAA.EXE
C:\ARCHIVOS DE PROGRAMA\SYNCABLES\SYNCABLES DESKTOP\MIGOMAPI.EXE
C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\SHARED\HPQTOASTER.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\ARCHIVOS DE PROGRAMA\MSN\TOOLBAR\3.0.0559.0\MSNTASK.EXE
C:\ARCHIVOS DE PROGRAMA\AOL\AOL TOOLBAR 5.0\AOLTBSERVER.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
E:\TROYANO\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
F2 - REG:system.ini: Taskman=C:\RECYCLER\S-1-5-21-9723113057-2972004151-915300738-4850\services.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Archivos de programa\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Archivos de programa\Norton Internet Security\Engine\16.0.0.125\IPSBHO.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Archivos de programa\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Microsoft Live Search Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - c:\Archivos de programa\MSN\Toolbar\3.0.0559.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Archivos de programa\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Archivos de programa\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: Microsoft Live Search Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - c:\Archivos de programa\MSN\Toolbar\3.0.0559.0\msneshellx.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [miukaa] C:\Documents and Settings\CBWS\miukaa.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [AESTFltr] %SystemRoot%\system32\AESTFltr.exe /NoDlg
O4 - HKLM\..\Run: [HP BTW Detect Program] C:\Archivos de programa\HP\HPBTWD.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Syncables] C:\Archivos de programa\syncables\syncables desktop\Syncables.exe
O4 - HKLM\..\Run: [Microsoft Default Manager] "c:\Archivos de programa\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avast5] C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O8 - Extra context menu item: &AOL Toolbar Buscar - C:\Documents and Settings\All Users\Datos de programa\AOL\ieToolbar\resources\es-ES\local\search.html
O8 - Extra context menu item: &Buscar con AOL Toolbar - C:\Documents and Settings\All Users\Datos de programa\AOL\ieToolbar\resources\es-MX\local\search.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_11) -
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) -
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
Información Adicional:
----------------------
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation
WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation
WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Roxio SAIB Service (9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269) - Unknown owner - C:\Archivos de programa\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: BOTService - Sonic Solutions - C:\Archivos de programa\Roxio\BackOnTrack\Instant Restore\BOTService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: Norton Internet Security - Unknown owner - C:\Archivos de programa\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "C:\Archivos de programa\Norton Internet Security\Engine\16.0.0.125\diMaster.dll (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\archivos de programa\idt\wdm\STacSV.exe
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: AE Audio Service (AESTAud) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AESTAud.sys
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Controlador del adaptador de red Broadcom 802.11 (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EraserUtilRebootDrv - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (L1c) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\l1c51x86.sys
O23 - Service: NAVENG - Symantec Corporation - C:\Documents and Settings\All Users\Datos de programa\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS
O23 - Service: NAVEX15 - Symantec Corporation - C:\Documents and Settings\All Users\Datos de programa\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: RTS5121.Sys Realtek USB Card Reader (RSUSBSTOR) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\RTS5121.sys (file missing)
O23 - Service: Realtek IR Driver (Rts516xIR) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\Rts516xIR.sys (file missing)
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: USB Composite Device driver (WDM) (slabbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\slabbus.sys
O23 - Service: USB Data Cable Drivers (slabser) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\slabser.sys
O23 - Service: SRTSP - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSP.SYS
O23 - Service: IDT High Definition Audio CODEC (STHDA) - IDT, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys
O23 - Service: SYMDNS - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMDNS.SYS
O23 - Service: SymEvent - Symantec Corporation - C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
O23 - Service: SYMFW - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMFW.SYS
O23 - Service: SYMIDS - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMIDS.SYS
O23 - Service: Symantec Network Security Intermediate Filter Service (SymIM) - Symantec Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys
O23 - Service: SymIMMP - Symantec Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys
O23 - Service: SYMNDIS - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMNDIS.SYS
O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\system32\drivers\NIS\1000000.07D\SYMREDRV.SYS
O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys
O23 - Service: Realtek Smartcard Reader Driver (USBCCID) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\Rts5161ccid.sys (file missing)
Listado de Servicios (Deshabilitados):
--------------------------------------
O23 - Service: Controlador de filtro de bus AMD AGP (amdagp) - Advanced Micro Devices, Inc. - C:\WINDOWS\system32\DRIVERS\amdagp.sys
O23 - Service: asc - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc.sys
O23 - Service: asc3550 - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc3550.sys
O23 - Service: CmdIde - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys
O23 - Service: dac2w2k - Mylex Corporation - C:\WINDOWS\system32\DRIVERS\dac2w2k.sys
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys
O23 - Service: mraid35x - American Megatrends Inc. - C:\WINDOWS\system32\DRIVERS\mraid35x.sys
O23 - Service: ql1080 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1080.sys
O23 - Service: ql12160 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql12160.sys
O23 - Service: ql1280 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1280.sys
O23 - Service: Filtro de bus SIS AGP (sisagp) - Silicon Integrated Systems Corporation - C:\WINDOWS\system32\DRIVERS\sisagp.sys
O23 - Service: Sparrow - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\sparrow.sys
O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\system32\DRIVERS\symc810.sys
O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\system32\DRIVERS\symc8xx.sys
O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_hi.sys
O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_u3.sys
O23 - Service: ultra - Promise Technology, Inc. - C:\WINDOWS\system32\DRIVERS\ultra.sys
57 Servicios.
7 de Carga Automatica.
31 de Carga Manual.
19 Deshabilitados.
El archivo al que me refiero es:
C:\DOCUMENTS AND SETTINGS\CBWS\MIUKAA.EXE
O4 - HKCU\..\Run: [miukaa] C:\Documents and Settings\CBWS\miukaa.exe
este me lo encontro el process, pero ni elistara ni elipen lo detectan, es es que me genera los ejecutables supongo y un .ini con el mismo nombre.
Como puedo erradicarlo?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con una infeccion
Pues de entrada vemos que te faltan parches, especialmente este tab importante contra el Conficker:
Parche MS08-067 (Servicio Servidor) NO Instalado.
Lanza un windowsupdate e instala los que encuentre a faltar.
y vemos que tienes instalados y residentes simultaneamente el AVAST y el Norton. No debe haber mas de un antivirus en un equipo, para evitar colisiones y ralentizacion. Escoge uno y desinstala el otro !
Ademas, vemos estos ficheros sospechosos:
C:\ARCHIVOS DE PROGRAMA\ROXIO\BACKONTRACK\INSTANT RESTORE\BOTSERVICE.EXE
C:\WINDOWS\SYSTEM32\AESTFLTR.EXE
C:\Archivos de programa\HP\HPBTWD.exe
C:\Archivos de programa\syncables\syncables desktop\Syncables.exe
c:\Archivos de programa\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe
C:\DOCUMENTS AND SETTINGS\CBWS\MIUKAA.EXE
C:\RECYCLER\S-1-5-21-9723113057-2972004151-915300738-4850\services.exe
Especialmente este ultimo puede serte dificil de encontrar, pues está bien escondido. Prueba para ello el ELIMOVER.EXE, con un copiar y pegar de toda la linea de ruta y nombre del fichero, y asi lo copiará a C:\muestras desde donde te será mas fácil enviarnoslo
ELIMOVER
http://www.zonavirus.com/descargas/elimover.asp
y recuerda:
>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 19-2-2011
Parche MS08-067 (Servicio Servidor) NO Instalado.
Lanza un windowsupdate e instala los que encuentre a faltar.
y vemos que tienes instalados y residentes simultaneamente el AVAST y el Norton. No debe haber mas de un antivirus en un equipo, para evitar colisiones y ralentizacion. Escoge uno y desinstala el otro !
Ademas, vemos estos ficheros sospechosos:
C:\ARCHIVOS DE PROGRAMA\ROXIO\BACKONTRACK\INSTANT RESTORE\BOTSERVICE.EXE
C:\WINDOWS\SYSTEM32\AESTFLTR.EXE
C:\Archivos de programa\HP\HPBTWD.exe
C:\Archivos de programa\syncables\syncables desktop\Syncables.exe
c:\Archivos de programa\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe
C:\DOCUMENTS AND SETTINGS\CBWS\MIUKAA.EXE
C:\RECYCLER\S-1-5-21-9723113057-2972004151-915300738-4850\services.exe
Especialmente este ultimo puede serte dificil de encontrar, pues está bien escondido. Prueba para ello el ELIMOVER.EXE, con un copiar y pegar de toda la linea de ruta y nombre del fichero, y asi lo copiará a C:\muestras desde donde te será mas fácil enviarnoslo
ELIMOVER
y recuerda:
>
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 19-2-2011
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online