Fake antivirus (SOLUCIONADO)

jmcasas · Mensaje por **jmcasas** » 07 Oct 2011, 10:30

Hola a tod@s.

Nuevamente vengo a pedir ayuda a este foro (hay muchos virus o es que yo soy muuuuuy torpe??). Anoche se me colo un fake antivirus en el portatil. Este es diferente a otros que he sufrido porque, en lugar de sacar una ventana anunciando millones de virus esperando que pulses algun boton para instalarse (relativamente faciles de evitar cerrando las ventanas con el administrador de programas), directamente me salio un globo en el boton de inicio diciendo que se habian instalado programas nuevos. No se deciros como se llama el programa porque no le hice caso, directamente reinicie en modo seguro para descargarme la ultima version del Elistara y me encontre con que el programa tambien se carga en modo seguro (no aparece en el menu de Inicio, pero aparece un icono en la barra de residentes diciendo que la seguridad del equipo esta amenaza y bla, bla, bla). De todas formas, lance el Elistara y no encontro ningun archivo infectado.

Como era bastante tarde, lo deje y lo retomare esta noche. Que accion me recomendariais para empezar? No creo que el Avast! o el Spybot puedan ayudarme en esto ahora mismo si el Elistara ha fallado, lanzo un Hijackthis o un Sproces y os posteo el resultado?

Como siempre, os dois las gracias por adelantado porque conociendo como funciona este foro se la dedicacion y la calidad de las respuestas que me voy a encontrar. Gracias.

Mensaje por **msc hotline sat** » 07 Oct 2011, 11:29

Es posible que se trate de una nueva variante de las muchas miles que aparecen a diario, y que el ELISTARA aun no conozca, a pesar de que su heuristica aparca sospechosos aun no identificados, de los que pide muestra para analizar y controlar especificamente, pero siempre ha de haber los totalmente nuevos que hemos de investigar con otros medios, como es el SPROCES.

Como que has probado el ELISTARA, posteanos el c:\infosat.txt, que puede orientarnos aunque no haya detectado nada, y por otra parte, el C:\sproclog.txt generado por el SPROCES, y los analizaremos.

No utilices otras historias como el Avast o Spybot, pues si eliminas algun fichero y dejas las claves a medias, no podríamos replicar lo que te ha sucedido, para ofrecer su restauracion con las nuevas versiones de ELISTARA que hacemos a diario

Esperando postees dichos informes en tu proximo post, de respuesta a este Tema, recibe saludos

ms, 7-10-2011

RSPCATCAN

jmcasas · Mensaje por **jmcasas** » 07 Oct 2011, 23:36

Muchas gracias por vuestra respuesta. Acabo de arrancar en modo seguro directamente para hacer el Sproces y de momento (25 minutos) no ha aparecido ningún icono raro en la barra de residentes. ¿Funcionaría el ELISTARA ayer a pesar de todo? Cuando envíe este post arrancaré en modo normal y os comento.

Aquí está el archivo INFOSAT.TXT del escaneo que hice ayer:

(7-10-2011 00:37:19 (GMT))

EliStartPage v24.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-1005.bak

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(7-10-2011 00:37:42 (GMT))

EliStartPage v24.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2011)

--------------------------------------------------

Usuario: Juanma

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-1011

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(7-10-2011 00:37:52 (GMT))

EliStartPage v24.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-500

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(7-10-2011 01:03:23 (GMT))

EliStartPage v24.03 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 26693

Nº Total de Ficheros: 230082

Nº de Ficheros Analizados: 39142

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Y este es el archivo SPROCLOG.TXT que acabo de generar ahora mismo (he descargado la última versión del SPROCES y le he dado directamente a salir):

(7-10-2011 21:23:04 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: JUMACA

Usuario: Juanma

Sesión de Usuario: Juanma

17 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\VIRGIN MEDIA\SERVICE MANAGER\SERVICEPOINTSERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\JUANMA\MIS DOCUMENTOS\DESCARGAS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-1005.bak\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Usuario')

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-1005.bak\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Usuario')

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador')

R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)

F2 - REG:system.ini: Taskman=

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)

O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)

O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Archivos de programa\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [V Stuff Backup] "C:\Archivos de programa\VirginMedia\V Stuff Backup\v_stuff_backup.exe" /delayed

O4 - HKCU\..\Run: [Backup & Storage] "C:\Archivos de programa\VirginMedia\V Stuff Backup\Backup & Storage.exe" /delayed

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-21-948666519-4253495796-809688110-1005.bak\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Usuario')

O4 - HKUS\S-1-5-21-948666519-4253495796-809688110-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\ARCHIV~1\ARCHIV~1\NuTC4\bin\ncoeenv.exe

O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Archivos de programa\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [ServiceManager.exe] "C:\Archivos de programa\Virgin Media\Service Manager\ServiceManager.exe" /AUTORUN

O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKLM\..\RunOnce: [*pageevtscore.exe] "C:\Documents and Settings\All Users\Menú Inicio\Programas\pageevtscore.exe"

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Juanma\Datos de programa\Dropbox\bin\Dropbox.exe

O4 - Startup: Zentom System Guard.lnk = C:\Documents and Settings\Juanma\Datos de programa\F29C26F5E267D8D4EB5BFBEFFEBEFB5E\finc70dkk.exe

O4 - Global Startup: BTTray.lnk = C:\Archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe

O4 - Global Startup: Interface.lnk = C:\Autolab\Booter.exe

O8 - Extra context menu item: Agregar al componente Anti-Banners - (no file)

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Anexar destino de vínculo a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Enviar a Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html (User 'Usuario')

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html (User 'Usuario')

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html (User 'Usuario')

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html (User 'Usuario')

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html (User 'Usuario')

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html (User 'Usuario')

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html (User 'Usuario')

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html (User 'Usuario')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000 (User 'Usuario')

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NUTAFUN4.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NUTAFUN4.DLL

O16 - DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913}

O16 - DPF: {CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.4.0_04) - http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_04-win.cab

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - AppInit_DLLs: acaptuser32.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O20 - Winlogon Notify: KLOGON - Invalid registry found

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

WinSys\Drivers\ALCXWDM.SYS (de 541548 bytes) (+r) Realtek Semiconductor Corp.

WinSys\Drivers\aswSnx.sys (de 442200 bytes) () AVAST Software

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\btaudio.sys (de 534312 bytes) () Broadcom Corporation.

WinSys\Drivers\btkrnl.sys (de 991136 bytes) () Broadcom Corporation.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 550088 bytes) ()

WinSys\Drivers\sptd.sys (de 716272 bytes) () Duplex Secure Ltd.

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.1.6.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe

O23 - Service: Bruker FLEXlm License Server - Macrovision Corporation - C:\flexlm\Bruker\lmgrd.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: WLAN Transport (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys

**O23 - Service: ServicepointService - Radialpoint Inc. - C:\Archivos de programa\Virgin Media\Service Manager\ServicepointService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for WDM 3D Audio Driver (ALCXSENS) - Sensaura Ltd - C:\WINDOWS\SYSTEM32\drivers\ALCXSENS.SYS

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)

O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys

O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys

O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: btwhid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwhid.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: esgiguard - Unknown owner - C:\Archivos de programa\Enigma Software Group\SpyHunter\esgiguard.sys (file missing)

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Intel Wireless Connection Agent Miniport for Win XP (IWCA) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\iwca.sys

O23 - Service: LGE Bluetooth TransPort (LgBttPort) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgbtport.sys (file missing)

O23 - Service: LG Bluetooth Bus Enumerator (lgbusenum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgbtbus.sys (file missing)

O23 - Service: LG Mobile driver (WDM) (lgmdbus) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdbus.sys (file missing)

O23 - Service: LG Mobile USB WMC Modem Filter (lgmdmdfl) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmdfl.sys (file missing)

O23 - Service: LG Mobile USB WMC Modem Driver (lgmdmdm) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmdm.sys (file missing)

O23 - Service: LG Mobile USB WMC Device Management Drivers (WDM) (lgmdmgmt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmgmt.sys (file missing)

O23 - Service: LG Mobile USB WMC OBEX Interface (lgmdobex) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdobex.sys (file missing)

O23 - Service: LGE Virtual Modem (LGVMODEM) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgvmodem.sys (file missing)

O23 - Service: Mtlmnt5 - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlmnt5.sys

O23 - Service: Mtlstrm - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlstrm.sys

O23 - Service: NTIDrvr - Unknown owner - E:\Archivos de programa\NewTech Infosystems\NTI CD & DVD-Maker 7\NTIDrvr.sys (file missing)

O23 - Service: NtMtlFax - - C:\WINDOWS\SYSTEM32\DRIVERS\NtMtlFax.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: recagent (RecAgent) - Smart Link - C:\WINDOWS\system32\DRIVERS\RecAgent.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SmartLink AMR_PCI Driver (Slntamr) - - C:\WINDOWS\SYSTEM32\DRIVERS\slntamr.sys

O23 - Service: SlNtHal - - C:\WINDOWS\SYSTEM32\DRIVERS\Slnthal.sys

O23 - Service: SlWdmSup - Vireo Software - C:\WINDOWS\SYSTEM32\DRIVERS\SlWdmSup.sys

O23 - Service: TfNetMon - Unknown owner - C:\WINDOWS\system32\drivers\TfNetMon.sys (file missing)

O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2200BG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys

O23 - Service: Intel(R) Graphics Platform (SoftBIOS) Driver ({6080A529-897E-4629-A488-ABA0C29B635E}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmsbw.sys

O23 - Service: Intel(R) Graphics Chipset (KCH) Driver ({D31A0762-0CEB-444e-ACFF-B049A1F6FE91}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmkchw.sys

O23 - Service: AIM 3.0 Part 01 Codec Driver CH-7009-A/CH-7011 ({E2B953A6-195A-44F9-9BA3-3D5F4E32BB55}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\wA301a.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

60 Servicios.

16 de Carga Automatica.

41 de Carga Manual.

3 Deshabilitados.

Las entradas que contienen VIRGIN MEDIA hacen referencia al servidor de internet que tengo contratado en Inglaterra.

¿¿Son normales esas entradas que contienen (file missing) al final??

¿¿¿Es normal una entrada que contenga la palabra Demonio???

En fin, ya me diréis que tal lo veis. Voy a arrancar en modo normal y os cuento qué pasa.

Un saludo y mil gracias!

jmcasas · Mensaje por **jmcasas** » 08 Oct 2011, 00:00

Pues no ha habido suerte, así sigue el tío en modo normal...

He vuelto a arrancar en modo seguro para escribir este post y de momento parece que no se carga en este modo.

El programa fake antivirus se llama Zentom System Guard. Cuando se abre la típica ventana diciéndote que el programa ha encontrado cientos de virus en tu ordenador, el Avast! lanza un mensaje diciendo ROOTKIT (ENCUBRIDOR) BLOQUEADO. Identifica la amenza como Win32:Rootkit-gen [Rtk] y dice que lo ha movido al baúl. ¿Qué es, otra infección o es que el Avast! detecta el fake antivirus? ¿Podría usar el Avast! para eliminarlo en modo seguro?

Muchas gracias otra vez.

jmcasas · Mensaje por **jmcasas** » 08 Oct 2011, 00:10

Tras unos minutos en esta segunda sesión en modo seguro, acaba de aparecer el Zentom System Guard de nuevo.

Mensaje por **msc hotline sat** » 08 Oct 2011, 09:33

Está claro que el malware es este:

C:\Documents and Settings\Juanma\Datos de programa\F29C26F5E267D8D4EB5BFBEFFEBEFB5E\finc70dkk.exe

Añade .VIR a su extension y tras reiniciar envianoslo para analizar y controlar en las proximas versiones del ELISTARA:

>~~[b]~~ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 8-10-2011

ADEMAS, aunque sea por lo de Virgin que nos cuentas, envianos tambien estos ficheros para comprobar que no hayan sido modificados por el bicho:

C:\ARCHIVOS DE PROGRAMA\VIRGIN MEDIA\SERVICE MANAGER\SERVICEPOINTSERVICE.EXE

C:\Archivos de programa\Virgin Media\Service Manager\ServiceManager.exe

Mensaje por **msc hotline sat** » 08 Oct 2011, 10:24

Y contestando a tus otras preguntas:

~~[b]~~[i]¿Funcionaría el ELISTARA ayer a pesar de todo? [/i][/b]

El ELISTARA funcionó, pero controlando lo conocido y lo que heuristicamente era sospechoso por ser variante de algun conocido, pero el Zentom System Guard no lo conoce todavía, hasta que examinemos la muestra que le pedimos e implementemos su control y eliminación en la siguiente versión.

~~[b]~~[i]¿¿Son normales esas entradas que contienen (file missing) al final??[/i][/b]

Las claves que acaban con "file missing", son lanzamientos que lanzan ficheros ocultos o que ya no están. Algunos son normales y otros sospechosos, por esto los visualizamos, para obrar en consecuenciam segun la experiencia que tengamos al respecto de los mismos.

[i]~~[b]~~¿¿¿Es normal una entrada que contenga la palabra Demonio???[/b][/i]

Un "Daemon" (demonio en castellano) es un script, un proceso que normalmente esta cargado en memoria esperando una orden para ser ejecutado. Normalmente se ejecutan en segundo plano o "background".

saludos

ms, 8-10-2011

jmcasas · Mensaje por **jmcasas** » 08 Oct 2011, 18:51

Hola, gracias por tu respuesta.

No puedo enviar las muestras desde el portátil infectado, ni por el envío automatizado ni por e-mail, ni siquiera después de haber renombrado el archivo finc70dkk.exe con la extensión .vir y reiniciado en modo seguro (el Zentom System Guard sigue cargándose como si nada). En ambos casos, tanto en Firefox como en iExplore me dicen que están conectando y esperando respuesta, pero no envían nada.

Tengo otro portátil limpio que podría usar para enviar las muestras, pero tengo que pasarlas ahí mediante un pendrive. Tengo un pendrive tratado con el ELIPEN, ¿sería seguro meterlo en el portátil infectado, copiar los archivos comprimidos y luego meterlo en el portátil limpio? No quiero infectar también el otro portátil.

Gracias. Un saludo.

Mensaje por **lucl** » 08 Oct 2011, 22:35

Ante todo pasa el elipen en el portatil limpio. Luego usa el pendrive que comentas para pasarlo y recuerda que se llame .vir

Yo lo empaquetaria y le pondria una contraseña y entonces haria el cambio. Comentanos si salio bien. Saludos.

jmcasas · Mensaje por **jmcasas** » 09 Oct 2011, 01:24

Gracias, lucl. También tengo el otro portátil vacunado con el ELIPEN. Espero que no se haya infectado... :?

Acabo de enviar las muestras que me pedíais desde el portátil limpio. Los tres archivos están renombrados con la extensión .vir al final del nombre original y comprimidos en ZIP con la contraseña "virus".

¿Hay algo más que pueda hacer mientras generáis la nueva versión del ELISTARA?

Gracias y un saludo.

Mensaje por **msc hotline sat** » 09 Oct 2011, 11:13

Mañana, cuando volvamos al trabajo en SATINFO, veremos las muestras y las monitorizaremos, con lo cual veremos si este finc70dkk.exe ha creado copias en otras partes, que lo regeneren, pero mientras, como dices, puedes lanzar el SMD5.EXE sobre dicho fichero, y una vez sepas su hash, aplicarlo en el ELIMD5 para buscar otros ficheros iguales, aunque fueran de diferente nombre y estuvieran escondidos...

[url=http://www.zonavirus.com/descargas/descargar-smd5.asp]DESCARGA DE SMD5.EXE[/url]

[url=http://www.zonavirus.com/descargas/descargar-elimd5.asp]DESCARGA DE ELIMD5.EXE][/url]

y si lo prefieres, seguro que con el ELISTARA 24.05 de mañana, ya controlaremos este nuevo FAKE ALERT !

saludos

ms, 9-10-2011

jmcasas · Mensaje por **jmcasas** » 10 Oct 2011, 11:18

Creo que esperare a la nueva version del ELISTARA. Ya que estoy sirviendo de conejillo de indias para identificar ese Fake, aprovecharemos para comprobar que el ELISTARA funciona correctamente en su desinfeccion (de lo que no tengo ninguna duda, por cierto :wink: ).

Gracias y un saludo.

Mensaje por **msc hotline sat** » 10 Oct 2011, 12:35

Recibida la muestra enviada, la pasamos a controlar a partir del ELISTARA 24.05 de hoy

Ver el informe al respecto en:

http://www.zonavirus.com/noticias/2011/fake-av-zentom-system-guard.asp

Tras probar dicha nueva version, espero nos indiques resultado, gracias

saludos

ms, 10-10-2011

jmcasas · Mensaje por **jmcasas** » 11 Oct 2011, 00:02

Buenas,

Acabo de probar la nueva versión del ELISTARA en modo seguro.

Es un poco desconcertante, porque durante el análisis el Fake no ha parado de lanzar mensajes y el ELISTARA no ha informado de que haya encontrado ningún archivo infectado. Incluso después del análisis el Fake seguía dando la murga. Entonces he entrado en el archivo infosat.txt y parece que en realidad sí lo ha eliminado por acción directa:

(10-10-2011 21:02:46 (GMT))

EliStartPage v24.05 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-1005.bak

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(10-10-2011 21:02:55 (GMT))

EliStartPage v24.05 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2011)

--------------------------------------------------

Usuario: Juanma

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-1011

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Juanma\Datos de programa\F29C26F5E267D8D4EB5BFBEFFEBEFB5E\finc70dkk.exe.VIR --> Eliminado.

C:\Documents and Settings\Juanma\Datos de programa\Microsoft\Internet Explorer\Quick Launch\Zentom System Guard.lnk --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Juanma\Escritorio\Zentom System Guard.lnk --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Juanma\Menú Inicio\Zentom System Guard.lnk --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Juanma\Menú Inicio\Programas\Inicio\Zentom System Guard.lnk --> Eliminado (Fichero Complementario).

Eliminada Carpeta "%ProgMenuInicio%\Zentom System Guard"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(10-10-2011 21:03:05 (GMT))

EliStartPage v24.05 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-500

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(10-10-2011 21:28:45 (GMT))

EliStartPage v24.05 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 26774

Nº Total de Ficheros: 230278

Nº de Ficheros Analizados: 39193

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Así que he reiniciado en modo normal. Aparentemente no hay rastro del Zentom System Guard, pero el Avast! me ha informado nada más arrancar de cuatro troyanos bloqueados:

Objeto: C:\WINDOWS\dbgpackxml.exe

Infección: Win32:FakeAlert-BHA [Trj]

Acción: Movido al baúl

Proceso: C:\WINDOWS\Explorer.EXE

Objeto: C:\WINDOWS\system32\editwindbg.exe

Infección: Win32:FakeAlert-BHA [Trj]

Acción: Movido al baúl

Proceso: C:\WINDOWS\Explorer.EXE

Objeto: C:\Documents and Settings\All Users\...\uihostprop.ext

Infección: Win32:FakeAlert-BHA [Trj]

Acción: Movido al baúl

Proceso: C:\Archivos de programas\Microsft SQL Server\...\sqlservr.exe

Objeto: C:\WINDOWS\system32\config\systemprofile\advcentercpl.exe

Infección: Win32:FakeAlert-BHA [Trj]

Acción: Movido al baúl

Proceso: C:\WINDOWS\system32\services.exe

Como os comentaba en un mensaje anterior, cuando arrancaba en modo normal con el Zentom System Guard todavía activo el Avast! también me mostraba un mensaje de alarma, pero en ese caso se refería a un Rootkit bloqueado (Win32:Rootkit-gen [Rtk]) y no hablaba para nada de troyanos.

Además, las letras de los iconos del escritorio son ahora más grandes, como si estuvieran en negrita, y no caben en el espacio debajo de los iconos (los nombres se parten en varias líneas).

¿Qué debería hacer ahora? ¿El Zentom System Guard produce una infección múltiple o la página web estaba a reventar de virus? ¿Paso el Avast! -que parece que reconoce el troyano- u os envío más muestras para implementarlas en el ELISTARA -que parece que no lo ha detectado-?

Por cierto, la carpeta que contenía el Zentom System Guard (C:\Documents and Settings\Juanma\Datos de programa\F29C26F5E267D8D4EB5BFBEFFEBEFB5E\) sigue existiendo y contiene 3 archivos más (enemies-names.txt, local.ini y lsrslt.ini). ¿La borro sin más?

Quedo a la espera de lo que me digáis.

Gracias y un saludo.

jmcasas · Mensaje por **jmcasas** » 11 Oct 2011, 00:18

Definitivamente hay algo que no va bien. Siguen apareciendo mensajes en la barra de residentes: un signo de admiración en un triángulo amarillo, y un globo que dice "System warning - Spyware protection is disabled. Your personal data is at high risk of being stolen and misused" o "System warning - Keep your computer safe from viruses and malicious programs that can slow down or break your system". Lo curioso es que aparecen más de 10 minutos después de arrancar.

Son los mismos síntomas que aparecían en modo seguro durante el escaneo con el ELISTARA y que yo atribuía (evidentemente de forma errónea) al Zentom System Guard. Parece que se trata de otro Fake antivirus (aparte del troyano del que alerta Avast! :? ??)...

He hecho un SPROCES por si os sirve de ayuda:

(10-10-2011 22:11:56 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: JUMACA

Usuario: Juanma

Sesión de Usuario: Juanma

55 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\EVTENG.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\S24EVMON.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\WLKEEPER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\AVAST SOFTWARE\AVAST\AVASTSVC.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\FLEXLM\BRUKER\LMGRD.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\FLEXLM\BRUKER\BRUKER_LS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL.1\MSSQL\BINN\SQLSERVR.EXE

C:\WINDOWS\SYSTEM32\NUTSRV4.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\OPROTSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\PROTEXIS\LICENSE SERVICE\PSISERVICE_2.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\REGSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\VIRGIN MEDIA\SERVICE MANAGER\SERVICEPOINTSERVICE.EXE

C:\WINDOWS\SYSTEM32\SLSERV.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLBROWSER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\IFRMEWRK.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\EOUWIZ.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 9.0\ACROBAT\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\DIVX\DIVX UPDATE\DIVXUPDATE.EXE

C:\ARCHIVOS DE PROGRAMA\AVAST SOFTWARE\AVAST\AVASTUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIV~1\INTEL\WIRELESS\BIN\1XCONFIG.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BTTRAY.EXE

C:\AUTOLAB\BOOTER.EXE

C:\DOCUMENTS AND SETTINGS\JUANMA\DATOS DE PROGRAMA\DROPBOX\BIN\DROPBOX.EXE

C:\ARCHIV~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 9.0\ACROBAT\ACROBATINFO.EXE

C:\DOCUMENTS AND SETTINGS\JUANMA\MIS DOCUMENTOS\DESCARGAS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-1005.bak\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Usuario')

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-1005.bak\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Usuario')

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador')

R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)

F2 - REG:system.ini: Taskman=

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)

O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)

O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Archivos de programa\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [V Stuff Backup] "C:\Archivos de programa\VirginMedia\V Stuff Backup\v_stuff_backup.exe" /delayed

O4 - HKCU\..\Run: [Backup & Storage] "C:\Archivos de programa\VirginMedia\V Stuff Backup\Backup & Storage.exe" /delayed

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [finc70dkk.exe] "C:\Documents and Settings\Juanma\Datos de programa\F29C26F5E267D8D4EB5BFBEFFEBEFB5E\finc70dkk.exe"

O4 - HKUS\S-1-5-21-948666519-4253495796-809688110-1005.bak\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Usuario')

O4 - HKUS\S-1-5-21-948666519-4253495796-809688110-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\ARCHIV~1\ARCHIV~1\NuTC4\bin\ncoeenv.exe

O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Archivos de programa\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [ServiceManager.exe] "C:\Archivos de programa\Virgin Media\Service Manager\ServiceManager.exe" /AUTORUN

O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKLM\..\RunOnce: [*propcabhost.exe] "C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\propcabhost.exe"

O4 - HKLM\..\RunOnce: [*editwindbg.exe] "C:\WINDOWS\system32\editwindbg.exe"

O4 - HKLM\..\RunOnce: [*advcentercpl.exe] "C:\WINDOWS\system32\config\systemprofile\advcentercpl.exe"

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\Run: [uihostprop.exe] "C:\Documents and Settings\All Users\Datos de programa\uihostprop.exe" (User 'Servicio de red')

O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Juanma\Datos de programa\Dropbox\bin\Dropbox.exe

O4 - Global Startup: BTTray.lnk = C:\Archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe

O4 - Global Startup: Interface.lnk = C:\Autolab\Booter.exe

O8 - Extra context menu item: Agregar al componente Anti-Banners - (no file)

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Anexar destino de vínculo a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Enviar a Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html (User 'Usuario')

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html (User 'Usuario')

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html (User 'Usuario')

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html (User 'Usuario')

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html (User 'Usuario')

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html (User 'Usuario')

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html (User 'Usuario')

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html (User 'Usuario')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000 (User 'Usuario')

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NUTAFUN4.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NUTAFUN4.DLL

O16 - DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913}

O16 - DPF: {CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.4.0_04) - http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_04-win.cab

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - AppInit_DLLs: acaptuser32.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O20 - Winlogon Notify: KLOGON - Invalid registry found

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

WinSys\Drivers\ALCXWDM.SYS (de 541548 bytes) (+r) Realtek Semiconductor Corp.

WinSys\Drivers\aswSnx.sys (de 442200 bytes) () AVAST Software

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\btaudio.sys (de 534312 bytes) () Broadcom Corporation.

WinSys\Drivers\btkrnl.sys (de 991136 bytes) () Broadcom Corporation.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 550088 bytes) ()

WinSys\Drivers\sptd.sys (de 716272 bytes) ()

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.1.6.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe

O23 - Service: Bruker FLEXlm License Server - Macrovision Corporation - C:\flexlm\Bruker\lmgrd.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: WLAN Transport (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys

**O23 - Service: ServicepointService - Radialpoint Inc. - C:\Archivos de programa\Virgin Media\Service Manager\ServicepointService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for WDM 3D Audio Driver (ALCXSENS) - Sensaura Ltd - C:\WINDOWS\SYSTEM32\drivers\ALCXSENS.SYS

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)

O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys

O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys

O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: btwhid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwhid.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: esgiguard - Unknown owner - C:\Archivos de programa\Enigma Software Group\SpyHunter\esgiguard.sys (file missing)

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Intel Wireless Connection Agent Miniport for Win XP (IWCA) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\iwca.sys

O23 - Service: LGE Bluetooth TransPort (LgBttPort) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgbtport.sys (file missing)

O23 - Service: LG Bluetooth Bus Enumerator (lgbusenum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgbtbus.sys (file missing)

O23 - Service: LG Mobile driver (WDM) (lgmdbus) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdbus.sys (file missing)

O23 - Service: LG Mobile USB WMC Modem Filter (lgmdmdfl) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmdfl.sys (file missing)

O23 - Service: LG Mobile USB WMC Modem Driver (lgmdmdm) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmdm.sys (file missing)

O23 - Service: LG Mobile USB WMC Device Management Drivers (WDM) (lgmdmgmt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmgmt.sys (file missing)

O23 - Service: LG Mobile USB WMC OBEX Interface (lgmdobex) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdobex.sys (file missing)

O23 - Service: LGE Virtual Modem (LGVMODEM) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgvmodem.sys (file missing)

O23 - Service: Mtlmnt5 - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlmnt5.sys

O23 - Service: Mtlstrm - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlstrm.sys

O23 - Service: NTIDrvr - Unknown owner - E:\Archivos de programa\NewTech Infosystems\NTI CD & DVD-Maker 7\NTIDrvr.sys (file missing)

O23 - Service: NtMtlFax - - C:\WINDOWS\SYSTEM32\DRIVERS\NtMtlFax.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: recagent (RecAgent) - Smart Link - C:\WINDOWS\system32\DRIVERS\RecAgent.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SmartLink AMR_PCI Driver (Slntamr) - - C:\WINDOWS\SYSTEM32\DRIVERS\slntamr.sys

O23 - Service: SlNtHal - - C:\WINDOWS\SYSTEM32\DRIVERS\Slnthal.sys

O23 - Service: SlWdmSup - Vireo Software - C:\WINDOWS\SYSTEM32\DRIVERS\SlWdmSup.sys

O23 - Service: TfNetMon - Unknown owner - C:\WINDOWS\system32\drivers\TfNetMon.sys (file missing)

O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2200BG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys

O23 - Service: Intel(R) Graphics Platform (SoftBIOS) Driver ({6080A529-897E-4629-A488-ABA0C29B635E}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmsbw.sys

O23 - Service: Intel(R) Graphics Chipset (KCH) Driver ({D31A0762-0CEB-444e-ACFF-B049A1F6FE91}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmkchw.sys

O23 - Service: AIM 3.0 Part 01 Codec Driver CH-7009-A/CH-7011 ({E2B953A6-195A-44F9-9BA3-3D5F4E32BB55}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\wA301a.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

60 Servicios.

16 de Carga Automatica.

41 de Carga Manual.

3 Deshabilitados.

Gracias y un saludo.

Mensaje por **msc hotline sat** » 11 Oct 2011, 07:29

Sí, por accion directa lo ha encontrado y eliminado, antes de la exploracion:

C:\Documents and Settings\Juanma\Datos de programa\F29C26F5E267D8D4EB5BFBEFFEBEFB5E\finc70dkk.exe.VIR --> Eliminado.

y tambien los complementarios:

C:\Documents and Settings\Juanma\Datos de programa\Microsoft\Internet Explorer\Quick Launch\Zentom System Guard.lnk --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Juanma\Escritorio\Zentom System Guard.lnk --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Juanma\Menú Inicio\Zentom System Guard.lnk --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Juanma\Menú Inicio\Programas\Inicio\Zentom System Guard.lnk --> Eliminado (Fichero Complementario).

Eliminada Carpeta "%ProgMenuInicio%\Zentom System Guard"

Sobre la carpeta que aun has visto, no tiene ejecutables, puedes eliminarla sin mas:

(C:\Documents and Settings\Juanma\Datos de programa\F29C26F5E267D8D4EB5BFBEFFEBEFB5E\) sigue existiendo y contiene 3 archivos más (enemies-names.txt, local.ini y lsrslt.ini).

y paso a analizar el log del actual Sproces, ya que al parecer hay algo mas. (No tiene porqué haber uno solo ...)

Quedan por analizar las muestras que ya le pedimos y que no ha enviado:

C:\ARCHIVOS DE PROGRAMA\VIRGIN MEDIA\SERVICE MANAGER\SERVICEPOINTSERVICE.EXE

C:\Archivos de programa\Virgin Media\Service Manager\ServiceManager.exe

y envienos ademas estos otros dos:

C:\Archivos de programa\VirginMedia\V Stuff Backup\v_stuff_backup.exe

C:\Archivos de programa\VirginMedia\V Stuff Backup\Backup & Storage.exe

y puede eliminar estas claves:

O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)

O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)

O2 - BHO: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)

O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)

y tambien elimine esta, que ya no debería estar... :

O4 - HKCU\..\Run: [finc70dkk.exe] "C:\Documents and Settings\Juanma\Datos de programa\F29C26F5E267D8D4EB5BFBEFFEBEFB5E\finc70dkk.exe"

y esto es nuevo, no estaba en el log anterior, y resulta sospechoso:

O4 - HKLM\..\RunOnce: [*propcabhost.exe] "C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\propcabhost.exe"

O4 - HKLM\..\RunOnce: [*editwindbg.exe] "C:\WINDOWS\system32\editwindbg.exe"

O4 - HKLM\..\RunOnce: [*advcentercpl.exe] "C:\WINDOWS\system32\config\systemprofile\advcentercpl.exe"

O4 - HKUS\S-1-5-20\..\Run: [uihostprop.exe] "C:\Documents and Settings\All Users\Datos de programa\uihostprop.exe" (User 'Servicio de red')

De momento envienos los ficheros que lanzan estas ultimas claves, y añadales .VIR a su extension:

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\propcabhost.exe

C:\WINDOWS\system32\editwindbg.exe

C:\WINDOWS\system32\config\systemprofile\advcentercpl.exe

C:\Documents and Settings\All Users\Datos de programa\uihostprop.exe

y este otro es de otro tamaño que el que conocemos, de Smart Link, (de 404990 bytes), sin añadirle nada, envienoslo tambien para analizar, por si acaso...

WinSys\Drivers\slntamr.sys

Seguramente volvio a entrarle otro malware, quizas hay un Rootkit no visible o un downloadxer desconocido, o simplemente por entrar en alguna web descargó automaticamente algo malicioso... sea lo que sea vamos a por ello !

Tras recibir las muestras solicitadas, las analizaremos e informaremos

saludos

ms, 11-10-2011

jmcasas · Mensaje por **jmcasas** » 11 Oct 2011, 10:49

Esta noche me pongo a ello. Siento que la comunicacion no sea muy fluida, pero durante el dia estoy en el trabajo y el portatil lo tengo en casa :(

Con respecto a los archivos

C:\ARCHIVOS DE PROGRAMA\VIRGIN MEDIA\SERVICE MANAGER\SERVICEPOINTSERVICE.EXE

C:\Archivos de programa\Virgin Media\Service Manager\ServiceManager.exe

si que envie las muestras a traves del servicio automatizado del foro, al igual que la del Zentom System Guard. No recibisteis esos archivos? La ventana me decia que las muestras estaban enviadas. La ultma que envie fue el Zentom. Es posible que las muestras que envie se fueran sobreescribiendo una sobre otra? Como preferis que envie las muestras, una a una en archivos separados o todas juntas en un unico archivo?

Mensaje por **msc hotline sat** » 11 Oct 2011, 17:44

No hace falta, como que enviaste varios ficheros ZIP incrementando el tamaño al ser trozos hasta el mayor, que era completo, se analizó el mas grande y se prescindió del resto.

Ahora hemos visto que entre los "pequeños" hay los indicados, que al parecer no contienen rutinas víricas, asi que los dejamos estar.

Esta noche, descarga la nueva versión del ELISTARA 24.06, y cuentanos el resultado, gracias.

saludos

ms, 11-10-2011

jmcasas · Mensaje por **jmcasas** » 12 Oct 2011, 00:49

Bueno, pues aquí vamos otra vez.

Esto es muy desconcertante.

He arrancado el ordenador directamente en modo seguro. Lo primero que me han salido han sido tres mensajes de Windows alertando de que no se encontraban los siguientes archivos:

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\propcabhost.exe

C:\WINDOWS\system32\editwindbg.exe

C:\WINDOWS\system32\config\systemprofile\advcentercpl.exe

Es decir, 3 de los cuatro sospechosos. :shock:

Entonces he ido a preparar las muestras para enviároslas. De los 7 archivos que me pedíais, sólo he podido encontrar 2 (!!??), y de ellos sólo uno en la dirección que me indicábais (C:\Archivos de programa\VirginMedia\V Stuff Backup\Backup & Storage.exe).

Sin embargo, estos 5 archivos han desaparecido (los he buscado incluso como archivos ocultos y por todo el disco duro utilizando la herramienta de búsqueda de Windows):

C:\Archivos de programa\VirginMedia\V Stuff Backup\v_stuff_backup.exe

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\propcabhost.exe

C:\WINDOWS\system32\editwindbg.exe

C:\WINDOWS\system32\config\systemprofile\advcentercpl.exe

C:\Documents and Settings\All Users\Datos de programa\uihostprop.exe

Y con respecto al archivo slntamr.sys, no lo he localizado en la dirección que me decíais (WinSys\Drivers\), sino que lo he encontrado duplicado en dos direcciones diferentes (C:\WINDOWS\ServidePackFiles\i386 y C:\WINDOWS\system32\drivers). El de la primera dirección tiene el tamaño correcto (404990 bytes), y el de la segunda pesa 550088 bytes, así que ése es el que os voy a enviar. Pero, ¿qué hago con los 5 archivos que faltan?

Después de todo esto, he arrancado el SPROCES y he intentado borrar las claves que indicábais, y entonces me ha salido el siguiente mensaje de error: "No ha sido posible utilizar REGEDIT.EXE para la exportación de claves de registro del sistema."

Entonces he reiniciado el equipo en modo normal. Ha tardado en arrancar bastante más de lo habitual, y me he encontrado con un par de cosas interesantes: las letras de los iconos del escritorio vuelven a ser normales y tras media hora que llevo trabajando no ha aparecido ningún mensaje sospechoso, ni del Avast! ni del supuesto Fake.

He arrancado el HijackThis y he borrado las claves, y todo parece haber ido bien (aunque aún no he reiniciado).

Voy a enviaros las dos únicas muestras que he podido reunir, a reiniciar en modo seguro para pasar la última versión del ELISTARA y a hacer un SPROCES, y os cuento dentro de un rato.

Pero ¿os parece normal lo que os estoy contando? La última vez que apagué el ordenador parecía haber de todo y cuando lo vuelvo a arrancar todo parece haber desaparecido... :shock:

jmcasas · Mensaje por **jmcasas** » 12 Oct 2011, 00:51

Eso sí, Internet va insufriblemente lento...

jmcasas · Mensaje por **jmcasas** » 12 Oct 2011, 01:37

Bueno, pues ya he enviado las dos muestras que me han sido posibles:

C:\Archivos de programa\VirginMedia\V Stuff Backup\Backup & Storage.exe (con extensión .vir, comprimido en ZIP con contraseña "virus").

C:\WINDOWS\system32\drivers\slntamr.sys (sin extensión .vir, comprimido en ZIP con contraseña "virus").

Los otros archivos que pedíais siguen sin aparecer, aunque esta segunda vez que he arrancado en modo seguro no ha aparecido ningún mensaje de error.

Acabo de pasar el ELISTARA, y este es el archivo InfoSat.txt:

(11-10-2011 23:00:17 (GMT))

EliStartPage v24.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Octubre del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-1005.bak

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(11-10-2011 23:00:26 (GMT))

EliStartPage v24.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Octubre del 2011)

--------------------------------------------------

Usuario: Juanma

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-1011

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(11-10-2011 23:00:34 (GMT))

EliStartPage v24.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Octubre del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-500

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(11-10-2011 23:25:41 (GMT))

EliStartPage v24.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Octubre del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-948666519-4253495796-809688110-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 26803

Nº Total de Ficheros: 230332

Nº de Ficheros Analizados: 39206

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Y este es el archivo SProcLog.txt que ha resultado del SPROCES después de pasar el ELISTARA:

(11-10-2011 23:28:29 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: JUMACA

Usuario: Juanma

Sesión de Usuario: Juanma

13 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\VIRGIN MEDIA\SERVICE MANAGER\SERVICEPOINTSERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\JUANMA\MIS DOCUMENTOS\DESCARGAS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-1005.bak\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Usuario')

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-1005.bak\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Usuario')

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')

R0 - HKUS\S-1-5-21-948666519-4253495796-809688110-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador')

R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)

F2 - REG:system.ini: Taskman=

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Archivos de programa\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [V Stuff Backup] "C:\Archivos de programa\VirginMedia\V Stuff Backup\v_stuff_backup.exe" /delayed

O4 - HKCU\..\Run: [Backup & Storage] "C:\Archivos de programa\VirginMedia\V Stuff Backup\Backup & Storage.exe" /delayed

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-21-948666519-4253495796-809688110-1005.bak\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Usuario')

O4 - HKUS\S-1-5-21-948666519-4253495796-809688110-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\ARCHIV~1\ARCHIV~1\NuTC4\bin\ncoeenv.exe

O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Archivos de programa\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [ServiceManager.exe] "C:\Archivos de programa\Virgin Media\Service Manager\ServiceManager.exe" /AUTORUN

O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\Run: [uihostprop.exe] "C:\Documents and Settings\All Users\Datos de programa\uihostprop.exe" (User 'Servicio de red')

O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Juanma\Datos de programa\Dropbox\bin\Dropbox.exe

O4 - Global Startup: BTTray.lnk = C:\Archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe

O4 - Global Startup: Interface.lnk = C:\Autolab\Booter.exe

O8 - Extra context menu item: Agregar al componente Anti-Banners - (no file)

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Anexar destino de vínculo a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Enviar a Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html (User 'Usuario')

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html (User 'Usuario')

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html (User 'Usuario')

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html (User 'Usuario')

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html (User 'Usuario')

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html (User 'Usuario')

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html (User 'Usuario')

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html (User 'Usuario')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000 (User 'Usuario')

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NUTAFUN4.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NUTAFUN4.DLL

O16 - DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913}

O16 - DPF: {CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.4.0_04) - http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_04-win.cab

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - AppInit_DLLs: acaptuser32.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O20 - Winlogon Notify: KLOGON - Invalid registry found

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

WinSys\Drivers\ALCXWDM.SYS (de 541548 bytes) (+r) Realtek Semiconductor Corp.

WinSys\Drivers\aswSnx.sys (de 442200 bytes) () AVAST Software

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\btaudio.sys (de 534312 bytes) () Broadcom Corporation.

WinSys\Drivers\btkrnl.sys (de 991136 bytes) () Broadcom Corporation.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 550088 bytes) ()

WinSys\Drivers\sptd.sys (de 716272 bytes) () Duplex Secure Ltd.

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.1.6.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe

O23 - Service: Bruker FLEXlm License Server - Macrovision Corporation - C:\flexlm\Bruker\lmgrd.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: WLAN Transport (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys

**O23 - Service: ServicepointService - Radialpoint Inc. - C:\Archivos de programa\Virgin Media\Service Manager\ServicepointService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for WDM 3D Audio Driver (ALCXSENS) - Sensaura Ltd - C:\WINDOWS\SYSTEM32\drivers\ALCXSENS.SYS

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)

O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys

O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys

O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: btwhid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwhid.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: esgiguard - Unknown owner - C:\Archivos de programa\Enigma Software Group\SpyHunter\esgiguard.sys (file missing)

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Intel Wireless Connection Agent Miniport for Win XP (IWCA) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\iwca.sys

O23 - Service: LGE Bluetooth TransPort (LgBttPort) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgbtport.sys (file missing)

O23 - Service: LG Bluetooth Bus Enumerator (lgbusenum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgbtbus.sys (file missing)

O23 - Service: LG Mobile driver (WDM) (lgmdbus) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdbus.sys (file missing)

O23 - Service: LG Mobile USB WMC Modem Filter (lgmdmdfl) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmdfl.sys (file missing)

O23 - Service: LG Mobile USB WMC Modem Driver (lgmdmdm) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmdm.sys (file missing)

O23 - Service: LG Mobile USB WMC Device Management Drivers (WDM) (lgmdmgmt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmgmt.sys (file missing)

O23 - Service: LG Mobile USB WMC OBEX Interface (lgmdobex) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdobex.sys (file missing)

O23 - Service: LGE Virtual Modem (LGVMODEM) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lgvmodem.sys (file missing)

O23 - Service: Mtlmnt5 - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlmnt5.sys

O23 - Service: Mtlstrm - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlstrm.sys

O23 - Service: NTIDrvr - Unknown owner - E:\Archivos de programa\NewTech Infosystems\NTI CD & DVD-Maker 7\NTIDrvr.sys (file missing)

O23 - Service: NtMtlFax - - C:\WINDOWS\SYSTEM32\DRIVERS\NtMtlFax.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: recagent (RecAgent) - Smart Link - C:\WINDOWS\system32\DRIVERS\RecAgent.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SmartLink AMR_PCI Driver (Slntamr) - - C:\WINDOWS\SYSTEM32\DRIVERS\slntamr.sys

O23 - Service: SlNtHal - - C:\WINDOWS\SYSTEM32\DRIVERS\Slnthal.sys

O23 - Service: SlWdmSup - Vireo Software - C:\WINDOWS\SYSTEM32\DRIVERS\SlWdmSup.sys

O23 - Service: TfNetMon - Unknown owner - C:\WINDOWS\system32\drivers\TfNetMon.sys (file missing)

O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2200BG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys

O23 - Service: Intel(R) Graphics Platform (SoftBIOS) Driver ({6080A529-897E-4629-A488-ABA0C29B635E}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmsbw.sys

O23 - Service: Intel(R) Graphics Chipset (KCH) Driver ({D31A0762-0CEB-444e-ACFF-B049A1F6FE91}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmkchw.sys

O23 - Service: AIM 3.0 Part 01 Codec Driver CH-7009-A/CH-7011 ({E2B953A6-195A-44F9-9BA3-3D5F4E32BB55}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\wA301a.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

60 Servicios.

16 de Carga Automatica.

41 de Carga Manual.

3 Deshabilitados.

Muchas gracias y un saludo.

jmcasas · Mensaje por **jmcasas** » 12 Oct 2011, 01:39

El último mensaje se ha duplicado.

Mensaje por **msc hotline sat** » 12 Oct 2011, 08:03

Estas desapariciones de ficheros, pueden ser causa de ocultamientos por un RootKit, y el que vaya tan lento indica que aun hay gato encerrado.

Como que no encuentras este fichero: uihostprop.exe

elimina su clave de carga:

O4 - HKUS\S-1-5-20\..\Run: [uihostprop.exe] "C:\Documents and Settings\All Users\Datos de programa\uihostprop.exe" (User 'Servicio de red')

Y estas otras claves, si no son voluntarias, eliminalas tambien:

O8 - Extra context menu item: Agregar al componente Anti-Banners - (no file)

O20 - Winlogon Notify: KLOGON - Invalid registry found

Luego, reinicia y si persiste el problema de lentitud , habremos de pensar en que hay procesos que no vemos, por lo que convendrá que lances el McAfee RootKit Detective y nos postees el informe resultante:

http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

Si no encontraramos nada con ello, cabría pensar en uno de MBR, que trataríamos debidamente primero con un COPYMBR /SEGU y luego con un FIXMBR, pero tiempo al tiempo...

saludos

ms, 12-10-2011

jmcasas · Mensaje por **jmcasas** » 13 Oct 2011, 00:26

Buenas otra vez.

He pasado el SPROCES y sólo encuentro dos de las claves que me pides que elimine

O4 - HKUS\S-1-5-20\..\Run: [uihostprop.exe] "C:\Documents and Settings\All Users\Datos de programa\uihostprop.exe" (User 'Servicio de red')

O20 - Winlogon Notify: KLOGON - Invalid registry found

pero no puedo borrarlas porque me sale el mensaje de error "No ha sido posible utilizar REGEDIT.EXE para la exportación de claves de registro del sistema." La otra clave (O8 - Extra context menu item: Agregar al componente Anti-Banners - (no file)) no aparece en las entradas que se pueden eliminar (aunque si aparece luego en el archivo SProcLog.txt).

Entonces he arrancado el HijackThis, y no encuentro NINGUNA de las tres claves!

Este es el archivo hijackthis.log:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 23:19:34, on 12/10/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode with network support

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Virgin Media\Service Manager\ServicepointService.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Mozilla Firefox\plugin-container.exe

C:\Archivos de programa\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Archivos de programa\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\ARCHIV~1\ARCHIV~1\NuTC4\bin\ncoeenv.exe

O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Archivos de programa\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [ServiceManager.exe] "C:\Archivos de programa\Virgin Media\Service Manager\ServiceManager.exe" /AUTORUN

O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [V Stuff Backup] "C:\Archivos de programa\VirginMedia\V Stuff Backup\v_stuff_backup.exe" /delayed

O4 - HKCU\..\Run: [Backup & Storage] "C:\Archivos de programa\VirginMedia\V Stuff Backup\Backup & Storage.exe" /delayed

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Juanma\Datos de programa\Dropbox\bin\Dropbox.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Interface.lnk = C:\Autolab\Booter.exe

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Anexar destino de vínculo a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Enviar a Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab

O20 - AppInit_DLLs: acaptuser32.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe

O23 - Service: Bruker FLEXlm License Server - Macrovision Corporation - C:\flexlm\Bruker\lmgrd.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServicepointService - Radialpoint Inc. - C:\Archivos de programa\Virgin Media\Service Manager\ServicepointService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 13171 bytes

Por lo que tengo entendido el SPROCES es más potente que el HijackThis y permite ver procesos que este último no ve. Pero si no puedo borrar las entradas con el SPROCES y el HijackThis no las ve, ¿qué hago?)

He intentado buscar otra vez el archivo uihostprop.exe en el disco duro y el ayudante de búsqueda hacía cosas muy raras. En lugar de buscar por carpetas alfabéticamente, ha ido saltando sin sentido de una a otra, incluso ha dejado carpetas a la mitad y luego ha vuelto para completarlas.

Entonces he descargado el McAfee RootKit Detective y no ha encontrado nada:

McAfee(R) Rootkit Detective 1.1 scan report

On 12-10-2011 at 22:57:25

OS-Version 5.1.2600

Service Pack 3.0

====================================

Scan complete. No hidden processes/files found.

Total files scanned: 0

¿Qué hago ahora? Esto empieza a ser un poco desesperante. Es como perseguir un fantasma. Cada vez que parece haber algo a lo que agarrarse, desaparece.

Muchas gracias por tu ayuda y por tu tiempo, y por no dejarme como un caso perdido.

Un saludo.

Mensaje por **msc hotline sat** » 13 Oct 2011, 06:51

Pues por lo visto no aparecen ficheros corriendo en procesos ocultos, vamos a ver si hay algo en el MBR.

Desde Inicio->Ejecutar lanza un COPYMBR /SEGU

~~[b]~~DESCARGA DE COPYMBR.EXE[/b]

http://www.zonavirus.com/descargas/descargar-copymbr.asp

Asi tendremos copia de seguridad del MBR por si tenemos que retroceder, tras el siguiente paso:

y luego arranca con el CD de instalacion de Windows y accede a la consola de recuperacion pulsando R, luego escribes FIXMBR y pulsa <ENTER>

Tras reiniciar, mira si persisten las anomalias, y nos cuentas el resultado, gracias

saludos

ms, 13-10-2011

jmcasas · Mensaje por **jmcasas** » 13 Oct 2011, 10:31

Err... No tengo el CD de instalacion de Windows...

Mensaje por **msc hotline sat** » 13 Oct 2011, 19:44

Deberías tenerlo, pero para hacer lo indicado no hace falta que sea el original de este ordenador, puedes hacer el FIXMBR arrancando con uno que te deje algun amigo...

saludos

ms, 13-10-2011

jmcasas · Mensaje por **jmcasas** » 13 Oct 2011, 23:39

Incluso si está en otro idioma?

Mensaje por **msc hotline sat** » 14 Oct 2011, 07:08

Sí, no vamos a necesitar nada de sus ficheros, solo el arranque y el FIXMBR, y el que en el MBR ponga los mensajes en inglés u otro idioma, carece de importancia.

saludos

ms, 14-10-2011

jmcasas · Mensaje por **jmcasas** » 14 Oct 2011, 08:54

Como de momento no puedo hacer nada hasta que consigua el disco de arranque, he pasado el Avast! en modo seguro para ver si encontraba algo. Y ha encontrado 12 archivos infectados (pero no se cómo copiar el informe en el post):

C:\Documents and Settings\Juanma\Datos de programa\Adobe\plugs\KB11053934.exe ---> Win32:Tracur-FN [Trj]

C:\Documents and Settings\Juanma\Datos de programa\Adobe\plugs\KB11053974.exe ---> Win32:FakeAlert-BHA [Trj] (este último tiene el símbolo del Zentom System Guard!)

El Win32:FakeAlert-BHA también aparece en 10 archivos más en la carpeta

C:\System Volume Information\_restore[chorro de numeros]\RP66\

Pero no tengo acceso a esta carpeta para obtener muestras de esos archivos.

Como el ELISTARA no ha detectado nada, os envío muestra de los dos primeros para ver si podéis hacer algo con ellos.

De momento no he desinfectado los archivos con el Avast! por si crees que se puede hacer algo más antes.

Muchas gracias y saludos.

Fake antivirus (SOLUCIONADO)

Fake antivirus (SOLUCIONADO)

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus

Re: Fake antivirus