VIRUS EN USB

[teniter]

Hola amigos como estan otra vez les hablo, el tema pasado lo deje asi, me quede sin internet. Bueno les quiero comentar que hace una semana conecte mi usb en un computador y em aparecieron unas carpetas en acceso directo, y las carpetas originales que tenia, ni en archivos ocultos estaban, si no como "archivo protegido por el sistema" entonces desmaque esa opcion y me aparecieron pero junto a estas otras como !shakirita" y cosas asi, bueno lo peor es que despues de eso no puedo hacer nada en la memoria ni eliminar y ni copira porque me dice que esta protegido contra escritura, y habi intentado todo y nada, ayer me parecio lago extraño me meti en otro computador y si me dejo copiar y pegar, pense qeu se habia arreglado el problema, pero asi no fue ya que en el computador mio no me deja hacer nada. HOY INTENTE FORMATEARLO Y NO PUDE, INTENTE ELIMINARLO MANULAMENTE TODO YSE LEIMINO CASI TODO MENOS UNA CARPETA DE AUTORUN.INF QUE CONTIENE ALGO DE ELIPEN, QUE CREO QUE ES DE USTEDES, LES QUIERO PEDIR AYUDA A VER COMO HAGO. GRACIAS D EANTEMANO





SE QUE ES MUCHA LETRA, PERO EN SERIO AYUDENME.

[msc hotline sat]

La carpeta AUTORUN.INF creada por el ELIPEN, dejala, que impide que se cree fichero con dicho nombre, que usan los malwares que se propagan por ello a traves de los pendrives.



Pero lo de ocultacion de carpetas y creacion de links, es otro de los métodos que usan para propagarse, si bien entonces ya interviene el usuario, pulsando en uno de los links creados a cambio de las carpetas.



Uno de los que hace estos es la familia de los DORKBOT, peligrosos rootkits que actualmente están de moda.



Arramca en MODO SEGURO CON FUNCIONES DE RED, descarga el ELISTARA, pruebalo en dicho modo y posteanos el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]
http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso [/quote]

saludos



ms, 22-9-2011

[teniter]

HOLA amigos, miren ya pase el elistara como me dijeron no detecto ningun virus no les pego ahora el post porque como les dije no me deja copiar anda en ninguna memoria que ponga, cualquier memoria que coloco ene l computador ensguida sale que esta protegido contra escritura, entonces tratare de conseguir un modem para mandarselos desde mi casa. Amigos que sera porque pasa eso, cualquier memoria que meta en el computador enseguida lo protege contra escritura y no puedo hacer nada, ayudenme.



Gracias ed antemano.

[msc hotline sat]

Pues al mismo tiempo, posteanos el sproclog.txt que generará el SPROCES:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 24-6-2011

[teniter]

BUeno amigos aqui les ongo lo del elistara y sproces



ELISTARA:



(23-6-2011 01:00:32 (GMT))

EliStartPage v23.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2011)

--------------------------------------------------

Usuario: elder

ID de Usuario: S-1-5-21-1482476501-57989841-682003330-1004



Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "HKLM"="D:\WINDOWS\system32\wlcomm\svchost.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Policies"="D:\WINDOWS\system32\wlcomm\svchost.exe"

No Existe el Fichero HOSTS.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-6-2011 01:00:45 (GMT))

EliStartPage v23.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1482476501-57989841-682003330-500



Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKUS\S-1-5-21-1482476501-57989841-682003330-500\...\Run] "HKCU"="D:\WINDOWS\system32\wlcomm\svchost.exe"

Entrada Eliminada [HKUS\S-1-5-21-1482476501-57989841-682003330-500\...\Policies\Explorer\Run] "Policies"="D:\WINDOWS\system32\wlcomm\svchost.exe"

No Existe el Fichero HOSTS.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-6-2011 01:03:23 (GMT))

EliStartPage v23.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1482476501-57989841-682003330-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1727

Nº Total de Ficheros: 28107

Nº de Ficheros Analizados: 4817

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-6-2011 01:03:49 (GMT))

EliStartPage v23.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1482476501-57989841-682003330-500



Lista de Acciones (por Exploración):







SPROCES:



(25-6-2011 20:43:43 GMT)

SProces v5.6 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: ELDER-46DA7F6C2

Usuario: Administrador

Sesión de Usuario: Administrador



45 Procesos Activos:

D:\WINDOWS\SYSTEM32\SMSS.EXE

D:\WINDOWS\SYSTEM32\CSRSS.EXE

D:\WINDOWS\SYSTEM32\WINLOGON.EXE

D:\WINDOWS\SYSTEM32\SERVICES.EXE

D:\WINDOWS\SYSTEM32\LSASS.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SPOOLSV.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\DRIVERS\CDAC11BA.EXE

D:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE

D:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

D:\ARCHIVOS DE PROGRAMA\MCAFEE\SITEADVISOR\MCSACORE.EXE

D:\WINDOWS\EXPLORER.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\PG_CTL.EXE

D:\WINDOWS\SYSTEM32\HPZIPM12.EXE

D:\ARCHIVOS DE PROGRAMA\SOLIDWORKS CORP\SOLIDWORKS FLOW SIMULATION\BINCFW\STANDALONESLV.EXE

D:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\WINDOWS\SYSTEM32\RUNDLL32.EXE

D:\WINDOWS\SYSTEM32\WSCNTFY.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

D:\WINDOWS\SYSTEM32\ALG.EXE

D:\ARCHIVOS DE PROGRAMA\USB DISK SECURITY\USBGUARD.EXE

D:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EGUI.EXE

D:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\NOAUTORUN.EXE

D:\ARCHIVOS DE PROGRAMA\AUTORUNREMOVER\AUTORUNREMOVER.EXE

D:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

D:\WINDOWS\SYSTEM32\CTFMON.EXE

D:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

D:\ARCHIVOS DE PROGRAMA\ZTE MOBILE CONNECTION MANAGER\UIMAIN.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

D:\WINDOWS\SYSTEM32\NOTEPAD.EXE

G:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-1482476501-57989841-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'elder')

R0 - HKUS\S-1-5-21-1482476501-57989841-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'elder')

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - D:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - d:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - D:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Barra de Traducción de IdiomaX - {477A7A3C-8B11-4B02-ADD1-7A01C4D00FA2} - D:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - D:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O4 - HKCU\..\Run: [msnmsgr] "D:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKCU\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKUS\S-1-5-21-1482476501-57989841-682003330-1004\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'elder')

O4 - HKLM\..\Run: [USB Antivirus] D:\Archivos de programa\USB Disk Security\USBGuard.exe

O4 - HKLM\..\Run: [egui] "D:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [USB Security] D:\Archivos de programa\USB Disk Security\USBGuard.exe

O4 - HKLM\..\Run: [NoAutorun] D:\Documents and Settings\Administrador\Escritorio\NoAutorun.exe

O4 - HKLM\..\Run: [AutorunRemover.exe] D:\Archivos de programa\AutorunRemover\AutorunRemover.exe -Hide

O4 - HKLM\..\Run: [HKLM] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Global Startup: ninja.lnk = D:\Archivos de programa\Ninja\ninja.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - D:\Archivos de programa\Bodog Poker\BPGame.exe (file missing)

O9 - Extra button: Mostrar/Ocultar Barra de Traducción - {FE768A8F-9F88-4511-B28B-552ED2F6B500} - D:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O9 - Extra button: UB - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} - D:\Documents and Settings\Administrador\Menú Inicio\Programas\UB\UB.lnk (file missing) (HKCU)

O9 - Extra button: 365 Bonitas - {2afed132-dab8-4c91-8f14-5e98a6b50ddb} - D:\Documents and Settings\Administrador\Menú Inicio\Programas\365 Bonitas\365 Bonitas.lnk (HKCU)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - d:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O18 - Protocol: jpip - {B92DD248-E3D5-4A92-B311-C9B841681455} - D:\Archivos de programa\LizardTech\Express View\expressview.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - D:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - D:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - d:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O18 - Protocol: sidlet - {B92DD248-E3D5-4A92-B311-C9B841681455} - D:\Archivos de programa\LizardTech\Express View\expressview.dll

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - D:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - D:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - D:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: - {56F9679E-7826-4C84-81F3-532071A8BCC5} - D:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Información Adicional:

----------------------

.scr: AutoCADScriptFile -> "D:\WINDOWS\notepad.exe" "%1"

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hardlock.sys (de 453632 bytes) () Aladdin Knowledge Systems

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455936 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\sptd.sys (de 717296 bytes) ()



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: CdaC15BA - Macrovision Europe Ltd - D:\WINDOWS\system32\drivers\CDAC15BA.SYS

O23 - Service: eamon - ESET - D:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - D:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: GiveIO - Unknown owner - D:\WINDOWS\system32\drivers\GiveIO.sys (file missing)

O23 - Service: hardlock - Aladdin Knowledge Systems - D:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: Haspnt - Aladdin Knowledge Systems - D:\WINDOWS\system32\drivers\Haspnt.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - D:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "D:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - D:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe

O23 - Service: NextMove - Baldor Optimised Control - D:\WINDOWS\system32\drivers\NEXTMOVE.SYS

O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - Unknown owner - D:\Archivos de programa\PostgreSQL\8.3\bin\pg_ctl.exe" runservice -w -N "pgsql-8.3" -D "D:\Archivos de programa\PostgreSQL\8.3\d (file missing)

O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Remote Solver for Flow Simulation 2010 - Mentor Graphics Corporation - D:\Archivos de programa\SolidWorks Corp\SolidWorks Flow Simulation\binCFW\StandAloneSlv.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - D:\Archivos de programa\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - D:\WINDOWS\System32\dmadmin.exe

O23 - Service: EagleNT - Unknown owner - D:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\EagleNT.sys (file missing)

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Lavalys EVEREST Kernel Driver (EverestDriver) - Unknown owner - D:\Archivos de programa\Lavalys\EVEREST Corporate Edition\kerneld.wnt

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - D:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - D:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - D:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - D:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - D:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: Huawei DataCard USB PNP Device (hwusbdev) - Huawei Technologies Co., Ltd. - D:\WINDOWS\SYSTEM32\DRIVERS\ewusbdev.sys

O23 - Service: ialm - Intel Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - D:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Modem Interface USB Device for Legacy Serial Communication (qcusbser) - TCT International Mobile Ltd - D:\WINDOWS\SYSTEM32\DRIVERS\qcusbser.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - D:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SolidWorks Licensing Service - SolidWorks - D:\Archivos de programa\Archivos comunes\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - ZTE Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - ZTE Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - ZTE Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - D:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - D:\WINDOWS\System32\hidserv.dll (file missing)



38 Servicios.

13 de Carga Automatica.

23 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

Pues vemos que tienes este fichero sospechoso, que puede estar oculto:



D:\Archivos de programa\AutorunRemover\AutorunRemover.exe



Si no lo ves sirectamente, copialo a C:\muestras con el ELIMOVER :





ELIMOVER

http://www.zonavirus.com/descargas/descargar-elimover.asp





y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware



luego nos la envias para analizar, segun indicamos:











>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos







Y tras reiniciar, elimina estas claves:





O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\system32\wlcomm\svchost.exe



O4 - HKCU\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe



O4 - HKLM\..\Run: [AutorunRemover.exe] D:\Archivos de programa\AutorunRemover\AutorunRemover.exe -Hide



O4 - HKLM\..\Run: [HKLM] D:\WINDOWS\system32\wlcomm\svchost.exe



O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe



O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - D:\Archivos de programa\Bodog Poker\BPGame.exe (file missing)



O9 - Extra button: UB - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} - D:\Documents and Settings\Administrador\Menú Inicio\Programas\UB\UB.lnk (file missing) (HKCU)



O9 - Extra button: 365 Bonitas - {2afed132-dab8-4c91-8f14-5e98a6b50ddb} - D:\Documents and Settings\Administrador\Menú Inicio\Programas\365 Bonitas\365 Bonitas.lnk (HKCU)







Para ello puede lanzar el SPROCES, pulsar en SCAN, marcar dichas claves y escoger ELIMINAR.



saludos



ms, 26-6-2011





NOTA: Y luego vuelve a pasar el ELISTARA, y cuando detecte que falta el fichero HOSTS, acepta que instale uno por defecto. ms.

[teniter]

Amigos elimine lo que me pidieron y nada uan sale protegido contra escritura, gracias.

[msc hotline sat]

Te pedíamos que nos enviaras este fichero para analizar:



D:\Archivos de programa\AutorunRemover\AutorunRemover.exe





Lo has hecho ??? Sino, hazlo, claro.



saludos



ms, 29-6-2011

[teniter]

Amigos dicsulpe la demora lo que pasa como les dije qes que no tengo internet y como en el computador ninguna memoria usb me sirve porque me sale que esta protegido contra escritura, bueno les escribo para decirles que ya envie el archivo que me pidieron, aunque ya estaba conla extensión .VIR, no se si eso es problema, bueno también les envio el sporces por si las moscas, gracias de antemano.







(16-8-2011 16:25:03 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: ELDER-46DA7F6C2

Usuario: Administrador

Sesión de Usuario: Administrador



52 Procesos Activos:

D:\WINDOWS\SYSTEM32\SMSS.EXE

D:\WINDOWS\SYSTEM32\CSRSS.EXE

D:\WINDOWS\SYSTEM32\WINLOGON.EXE

D:\WINDOWS\SYSTEM32\SERVICES.EXE

D:\WINDOWS\SYSTEM32\LSASS.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SPOOLSV.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\DRIVERS\CDAC11BA.EXE

D:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE

D:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

D:\WINDOWS\EXPLORER.EXE

D:\ARCHIVOS DE PROGRAMA\MCAFEE\SITEADVISOR\MCSACORE.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\PG_CTL.EXE

D:\WINDOWS\SYSTEM32\HPZIPM12.EXE

D:\ARCHIVOS DE PROGRAMA\SOLIDWORKS CORP\SOLIDWORKS FLOW SIMULATION\BINCFW\STANDALONESLV.EXE

D:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

D:\WINDOWS\SYSTEM32\RUNDLL32.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\WINDOWS\SYSTEM32\WSCNTFY.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\ARCHIVOS DE PROGRAMA\POSTGRESQL\8.3\BIN\POSTGRES.EXE

D:\ARCHIVOS DE PROGRAMA\USB DISK SECURITY\USBGUARD.EXE

D:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EGUI.EXE

D:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\NOAUTORUN.EXE

D:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

D:\WINDOWS\SYSTEM32\CTFMON.EXE

D:\WINDOWS\SYSTEM32\ALG.EXE

D:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

D:\WINDOWS\SYSTEM32\TASKMGR.EXE

D:\ARCHIVOS DE PROGRAMA\MOBILE PARTNER\MOBILE PARTNER.EXE

D:\WINDOWS\EXPLORER.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

D:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

D:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\WINWORD.EXE

D:\ARCHIVOS DE PROGRAMA\MICROSOFT\OFFICE LIVE\OFFICELIVESIGNIN.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

D:\ARCHIVOS DE PROGRAMA\MICROSOFT SILVERLIGHT\4.0.60310.0\SILVERLIGHT.CONFIGURATION.EXE

D:\WINDOWS\SYSTEM32\WUAUCLT.EXE

D:\WINDOWS\SYSTEM32\SEARCHFILTERHOST.EXE

D:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\DESCARGAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-1482476501-57989841-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'elder')

R0 - HKUS\S-1-5-21-1482476501-57989841-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'elder')

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - D:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - d:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - D:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Barra de Traducción de IdiomaX - {477A7A3C-8B11-4B02-ADD1-7A01C4D00FA2} - D:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - D:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O4 - HKCU\..\Run: [msnmsgr] "D:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKCU\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKUS\S-1-5-21-1482476501-57989841-682003330-1004\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'elder')

O4 - HKLM\..\Run: [USB Antivirus] D:\Archivos de programa\USB Disk Security\USBGuard.exe

O4 - HKLM\..\Run: [egui] "D:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [USB Security] D:\Archivos de programa\USB Disk Security\USBGuard.exe

O4 - HKLM\..\Run: [NoAutorun] D:\Documents and Settings\Administrador\Escritorio\NoAutorun.exe

O4 - HKLM\..\Run: [HKLM] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Global Startup: ninja.lnk = D:\Archivos de programa\Ninja\ninja.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - D:\Archivos de programa\Bodog Poker\BPGame.exe (file missing)

O9 - Extra button: Mostrar/Ocultar Barra de Traducción - {FE768A8F-9F88-4511-B28B-552ED2F6B500} - D:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O9 - Extra button: UB - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} - D:\Documents and Settings\Administrador\Menú Inicio\Programas\UB\UB.lnk (file missing) (HKCU)

O9 - Extra button: 365 Bonitas - {2afed132-dab8-4c91-8f14-5e98a6b50ddb} - D:\Documents and Settings\Administrador\Menú Inicio\Programas\365 Bonitas\365 Bonitas.lnk (HKCU)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D7041939-E204-4189-9D27-D4D7900D55D8}: NameServer = 200.21.200.10 200.21.200.80

O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - d:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O18 - Protocol: jpip - {B92DD248-E3D5-4A92-B311-C9B841681455} - D:\Archivos de programa\LizardTech\Express View\expressview.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - D:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - D:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - d:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O18 - Protocol: sidlet - {B92DD248-E3D5-4A92-B311-C9B841681455} - D:\Archivos de programa\LizardTech\Express View\expressview.dll

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - D:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - D:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - D:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: - {56F9679E-7826-4C84-81F3-532071A8BCC5} - D:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Información Adicional:

----------------------

.scr: AutoCADScriptFile -> "D:\WINDOWS\notepad.exe" "%1"

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hardlock.sys (de 453632 bytes) () Aladdin Knowledge Systems

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455936 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\sptd.sys (de 717296 bytes) ()



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: CdaC15BA - Macrovision Europe Ltd - D:\WINDOWS\system32\drivers\CDAC15BA.SYS

O23 - Service: eamon - ESET - D:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - D:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: GiveIO - Unknown owner - D:\WINDOWS\system32\drivers\GiveIO.sys (file missing)

O23 - Service: hardlock - Aladdin Knowledge Systems - D:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: Haspnt - Aladdin Knowledge Systems - D:\WINDOWS\system32\drivers\Haspnt.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - D:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "D:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - D:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe

O23 - Service: NextMove - Baldor Optimised Control - D:\WINDOWS\system32\drivers\NEXTMOVE.SYS

O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - Unknown owner - D:\Archivos de programa\PostgreSQL\8.3\bin\pg_ctl.exe" runservice -w -N "pgsql-8.3" -D "D:\Archivos de programa\PostgreSQL\8.3\d (file missing)

O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Remote Solver for Flow Simulation 2010 - Mentor Graphics Corporation - D:\Archivos de programa\SolidWorks Corp\SolidWorks Flow Simulation\binCFW\StandAloneSlv.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - D:\Archivos de programa\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - D:\WINDOWS\System32\dmadmin.exe

O23 - Service: EagleNT - Unknown owner - D:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\EagleNT.sys (file missing)

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Lavalys EVEREST Kernel Driver (EverestDriver) - Unknown owner - D:\Archivos de programa\Lavalys\EVEREST Corporate Edition\kerneld.wnt

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - D:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - D:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - D:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - D:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - D:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: Huawei DataCard USB PNP Device (hwusbdev) - Huawei Technologies Co., Ltd. - D:\WINDOWS\SYSTEM32\DRIVERS\ewusbdev.sys

O23 - Service: ialm - Intel Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - D:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Modem Interface USB Device for Legacy Serial Communication (qcusbser) - TCT International Mobile Ltd - D:\WINDOWS\SYSTEM32\DRIVERS\qcusbser.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - D:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SolidWorks Licensing Service - SolidWorks - D:\Archivos de programa\Archivos comunes\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - ZTE Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - ZTE Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - ZTE Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - D:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - D:\WINDOWS\System32\hidserv.dll (file missing)



38 Servicios.

13 de Carga Automatica.

23 de Carga Manual.

2 Deshabilitados.

[lucl]

Tienes estas entradas que por cierto ya son repetitivas pues buscando en tu historial salen y que Msc ya te pidio que eliminaras y que enviaras un archivo a analizar.



ENTRADAS A ELIMINAR



O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKCU\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKLM\..\Run: [HKLM] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe





ARCHIVO A ENVIAR





D:\WINDOWS\system32\wlcomm\svchost.exe



antes de eliminar las entradas envia el archivo en cuestion, empaquetalo en winrar y ponle de contraseña la palabra virus. Arriba a la derecha tienes el boton de envio muestras. Luego elimina las entradas que te he dicho ejecutando sprocess, le das a scan y buscas esas entradas y le das a eliminar.



El que no tengas internet no es impedimento para solucionarlo pero es importante que envies el archivo que se te pide.



Y este otro



D:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\[b]NOAUTORUN.EXE[/b]





subelo a analizar a virustotal.com , lo que esta en negrita y si te da el log virico nos lo envias tambien a analizar y nos copias el resultado del log. Saludos.

[teniter]

Amigos les mande los archivos que me pidieron por la misma pagina ya que por hotmail, no me dejaba, ok, me avisan algo.

[msc hotline sat]

Pues si los has enviado hoy, mañana los analizaremos e informaremos



saludos



ms, 30-9-2011

[msc hotline sat]

De los dos ficheros recibidos, el NOAUTORUN.EXE es una utilidad segun "description..: No Autorun - USB disk virus defender", y el otro sí que es malware, un trojan VBZAX, segun indicamos en:



http://www.zonavirus.com/noticias/2011/nueva-variante-de-trojan-vbzax-pasado-a-controlar-con-elistara-2377.asp



Con el ELISTARA de hoy lo solucionará



saludos



ms, 31-8-2011

[teniter]

HOLA amigos, ya le pase el Elistara a la pc, y bien me elimino un virus o traojano, pero sigo sin copiar ni pegar nada desde cualquier usb conectada a mi computador, siempre me sale "medio protegido contra escritura", ayudenme como siempre lo hanhecho, gracias d eantemano.

[msc hotline sat]

Pues ya vimos que aparte de este virus VBZAX que eliminamos a partir del ELISTARA actual, tenías una utilidad que no es nuestra ni la aconsejamos:



[i][b]NOAUTORUN.EXE es una utilidad segun "description..: No Autorun - USB disk virus defender", [/b][/i]



No sabemos lo que te pudo toquetear para "proteger" tus pendrives, nosotros para ello tenemos el ELIPEN.EXE, pero con este NOAUTORUN.EXE ...



Si sabes desde cuando tienes este problema que dices, mira si coincide con la fecha que empezaste a utilizar dicha utilidad, y si es asi, mira si tienes un punto de restauracion anterior a ello, bien entendido que con ello perderás las instalaciones que hubieras hecho posteriormente, incluidos parches, por lo que deberás lanzar un windowsupdate y reinstalar las aplicaciones que instalaras a partir de entonces.



Y si no fuera el caso, y este NOAUTORUN lo tuvieras de antes, mira desde cuando te pasa lo de esta proteccion contra escritura y lanza una restauracion de sistema a un punto anterior a la misma.



Y tras reiniciar, nos cuentas el resultado, gracias



saludos



ms, 9-9-2011

[teniter]

Disculpen la demora de mi respuesta, pero a la f4echa de hoy intente restaurar el sistema pero en el cuadro del calendrio no pasa de noviembre, es decir no podia escoger al guno de octubre o septiembre, es normal o que pasa, gracias de antemano.

[lucl]

Deberias de poder echar hacia atras los meses, ¿has buscado bien alguna pestañita que te deje ir hacia atras? Saludos.

[msc hotline sat]

Como que de lo que se trata es de ver lo que hace este elemento:



D:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\NOAUTORUN.EXE



Mira de envianoslo para analizar





Aparte, desde Inicio -> Panel de control -> Agregar o quitar programas



prueba desinstalarlo, igual es lo que provoca esta anomalia, y por lo menos, a la extension del fichero indicado, añadele .VIR



Tras ello comentanos el resultado, gracias







Y para enviarnos el fichero para analizar, recordar:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 27-11-2011