VIRUS ALUREON-G@mbr[Rtk] EN EL ARRANQUE Y EN OTRA UNIDAD DE DISCO (SOLUCIONADO)

[olagorta]

Buenos días, tengo el siguiente problema: creo que tengo la IP infectada, porque así me lo ha hecho saber telefónica, y nos han bloqueado el puerto 25, y he pasado el Antivirus Avast Internet Security, que lo adquirí con licencia para 5 equipos, y aunque me ha borrado algunos, otros sólo los detecta, y no puede eliminarlos.

Creo que tengo alojado en el Sistema de Arranque el Alureon-G@mbre[Rtk], que es uno de los que me ha encontrado el Avast, pero sólo lo detecta, no lo elimina. Podríais ayudarme a solucionarlo? Gracias, y un saludo.

[flacoroo]

Haz lo siguiente: bajate estos programitas y ejecutalos reiniciando tu computadora de modo seguro,despues que termine nos pegas el resultado que se crea en C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar ElistAra[/url]

[url=http://www.zonavirus.com/descargas/elinotifdll.asp]Descargar Elinotif[/url] (complemento de ElistAra deben estar en el mismo lugar)

[url=http://www.zonavirus.com/descargas/elivbna.asp]Descargar Elivbna[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[msc hotline sat]

Sí, y de los que menciona flacoroo, empiece por el ELISTARA y posteenos el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]
http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso [/quote]

segun el ALUREON que sea lo podrá arreglar automaticamente, y si es uno con tecnicas Stealth, podremos utilizar el COPYMBR /SEGU y luego el FIXMBR arrancando con el CD de instalacion, desde la Consola de Recuperacion.



Cuando nos postee el infosat, le indicaremos como seguir.



saludos



ms, 11-11-2011





NOTA: Ademas, si El centro Nemesis les ha indicado que les cortaban el port 25, es porque estaban enviando masivamente mails, y ahora están sin poder enviar mails por ftp. Descarguen tambien el SPROCES y procedan como indicamos :


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



ms.

[olagorta]

Buenos días, a continuación os envío lo que puedo, pues me va internet superlento, me resultaba imposible entrar en vuestra página, pues me iba superlento, y estaba ejecutando los archivos que me habéis indicado casi al mismo tiempo, pero he visto ke hay ke hacerlo uno por uno.

Aquí os envío uno de ellos:



(16-2-2011 12:21:15 (GMT))

EliStartPage v22.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [URLSearchHook (HKCU) "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"] -> C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.DLL

Key Eliminada [URLSearchHook (HKCU) "{68d6c015-c699-4b66-800f-5709bdeddd8b}"] -> C:\PROGRAM FILES\MESSENGERPLUSLIVE_SPAIN_TB\TBMESS.DLL

Key Eliminada [URLSearchHook (HKLM) "{d82b1ec9-0d76-4f88-9fe6-4e92d2a8ea93}"] -> C:\PROGRAM FILES\SHAREWARE.PRO\TBSHA1.DLL

Key Eliminada [URLSearchHook (HKLM) "{68d6c015-c699-4b66-800f-5709bdeddd8b}"] -> C:\PROGRAM FILES\MESSENGERPLUSLIVE_SPAIN_TB\TBMESS.DLL

C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.EXE --> Eliminado Malware.SearchSet

C:\PROGRAM FILES\APPLICATION UPDATER\APPLICATIONUPDATER.EXE --> Malware.Widgi Renombrado a .VIR

C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.DLL --> Malware.SearchSet Renombrado a .VIR

C:\PROGRAM FILES\MESSENGERPLUSLIVE_SPAIN_TB\TBMESS.DLL --> TBConduit(tb) Renombrado a .VIR

C:\PROGRAM FILES\SHAREWARE.PRO\TBSHA1.DLL --> Eliminado TBConduit(tb)

H:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SEARCHSETTINGS"="C:\Program Files\Search Settings\SearchSettings.exe"

Eliminada Class, "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}" -> C:\Program Files\Search Settings\SearchSettings.dll

Eliminada Class, "{68d6c015-c699-4b66-800f-5709bdeddd8b}" -> C:\Program Files\MessengerPlusLive_Spain_TB\tbMess.dll

Eliminada Class, "{d82b1ec9-0d76-4f88-9fe6-4e92d2a8ea93}" -> C:\Program Files\Shareware.Pro\tbSha1.dll

Eliminado Servicio, "Application Updater"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado Alureon(mbr) en MBR del HD0

Restaurado MBR del HD0

Detectado Alureon(mbr) en MBR del HD1

Restaurado MBR del HD1

Restaurado MBR del HD2

Restaurado MBR del HD3

Reinicie para Completar la Limpieza.



(16-2-2011 15:20:35 (GMT))

EliStartPage v22.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(16-2-2011 16:32:30 (GMT))

EliStartPage v22.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(17-2-2011 08:25:44 (GMT))

EliStartPage v22.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\Search Settings"

Eliminados Ficheros Temporales del IE



(17-2-2011 08:26:09 (GMT))

EliStartPage v22.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 122

Nº Total de Ficheros: 1999

Nº de Ficheros Analizados: 879

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(7-4-2011 14:40:31 (GMT))

EliStartPage v22.99 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Abril del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado "Userinit"

[Userinit anterior] = "c:\windows\system32\userinit.exe,"

[Userinit actual] = "C:\WINDOWS\SYSTEM32\Userinit.exe,"

Eliminados Ficheros Temporales del IE



(7-4-2011 15:38:13 (GMT))

EliStartPage v22.99 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Abril del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(7-4-2011 18:30:59 (GMT))

EliStartPage v22.99 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Abril del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(11-11-2011 15:46:18 (GMT))

EliVBNA v2.29 (c)2011 S.G.H. / Satinfo S.L. Modificado el 7 de Noviembre del 2011)

--------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):



(11-11-2011 16:37:13 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):

[WinLogon\Notify\ASTYJYS]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\ASTYJYS.DLL (Notify).vir

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2011 16:38:25 (GMT))

EliVBNA v2.29 (c)2011 S.G.H. / Satinfo S.L. Modificado el 7 de Noviembre del 2011)

--------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):



(11-11-2011 16:47:23 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):

[WinLogon\Notify\ASTYJYS]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\ASTYJYS.DLL (Notify).vir

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2011 17:12:55 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Users\HYDRO\Downloads\R_WAT 2.2.5.ZIP --> Eliminado, HackTool.Wpakill



Nº Total de Directorios: 72401

Nº Total de Ficheros: 505220

Nº de Ficheros Analizados: 88202

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(14-11-2011 08:29:36 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):

[WinLogon\Notify\ASTYJYS]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\ASTYJYS.DLL (Notify).vir

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-11-2011 09:00:53 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 72855

Nº Total de Ficheros: 520044

Nº de Ficheros Analizados: 88354

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-11-2011 10:38:11 (GMT))

EliVBNA v2.29 (c)2011 S.G.H. / Satinfo S.L. Modificado el 7 de Noviembre del 2011)

--------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):

[olagorta]

Os mando el 2º listado de la unidad H: que también me daba error en la unidad, y donde había detectado tambíén el virus:



(16-2-2011 12:21:15 (GMT))

EliStartPage v22.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [URLSearchHook (HKCU) "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"] -> C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.DLL

Key Eliminada [URLSearchHook (HKCU) "{68d6c015-c699-4b66-800f-5709bdeddd8b}"] -> C:\PROGRAM FILES\MESSENGERPLUSLIVE_SPAIN_TB\TBMESS.DLL

Key Eliminada [URLSearchHook (HKLM) "{d82b1ec9-0d76-4f88-9fe6-4e92d2a8ea93}"] -> C:\PROGRAM FILES\SHAREWARE.PRO\TBSHA1.DLL

Key Eliminada [URLSearchHook (HKLM) "{68d6c015-c699-4b66-800f-5709bdeddd8b}"] -> C:\PROGRAM FILES\MESSENGERPLUSLIVE_SPAIN_TB\TBMESS.DLL

C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.EXE --> Eliminado Malware.SearchSet

C:\PROGRAM FILES\APPLICATION UPDATER\APPLICATIONUPDATER.EXE --> Malware.Widgi Renombrado a .VIR

C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.DLL --> Malware.SearchSet Renombrado a .VIR

C:\PROGRAM FILES\MESSENGERPLUSLIVE_SPAIN_TB\TBMESS.DLL --> TBConduit(tb) Renombrado a .VIR

C:\PROGRAM FILES\SHAREWARE.PRO\TBSHA1.DLL --> Eliminado TBConduit(tb)

H:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SEARCHSETTINGS"="C:\Program Files\Search Settings\SearchSettings.exe"

Eliminada Class, "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}" -> C:\Program Files\Search Settings\SearchSettings.dll

Eliminada Class, "{68d6c015-c699-4b66-800f-5709bdeddd8b}" -> C:\Program Files\MessengerPlusLive_Spain_TB\tbMess.dll

Eliminada Class, "{d82b1ec9-0d76-4f88-9fe6-4e92d2a8ea93}" -> C:\Program Files\Shareware.Pro\tbSha1.dll

Eliminado Servicio, "Application Updater"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado Alureon(mbr) en MBR del HD0

Restaurado MBR del HD0

Detectado Alureon(mbr) en MBR del HD1

Restaurado MBR del HD1

Restaurado MBR del HD2

Restaurado MBR del HD3

Reinicie para Completar la Limpieza.



(16-2-2011 15:20:35 (GMT))

EliStartPage v22.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(16-2-2011 16:32:30 (GMT))

EliStartPage v22.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(17-2-2011 08:25:44 (GMT))

EliStartPage v22.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\Search Settings"

Eliminados Ficheros Temporales del IE



(17-2-2011 08:26:09 (GMT))

EliStartPage v22.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 122

Nº Total de Ficheros: 1999

Nº de Ficheros Analizados: 879

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(7-4-2011 14:40:31 (GMT))

EliStartPage v22.99 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Abril del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado "Userinit"

[Userinit anterior] = "c:\windows\system32\userinit.exe,"

[Userinit actual] = "C:\WINDOWS\SYSTEM32\Userinit.exe,"

Eliminados Ficheros Temporales del IE



(7-4-2011 15:38:13 (GMT))

EliStartPage v22.99 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Abril del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(7-4-2011 18:30:59 (GMT))

EliStartPage v22.99 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Abril del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(11-11-2011 15:46:18 (GMT))

EliVBNA v2.29 (c)2011 S.G.H. / Satinfo S.L. Modificado el 7 de Noviembre del 2011)

--------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):



(11-11-2011 16:37:13 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):

[WinLogon\Notify\ASTYJYS]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\ASTYJYS.DLL (Notify).vir

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2011 16:38:25 (GMT))

EliVBNA v2.29 (c)2011 S.G.H. / Satinfo S.L. Modificado el 7 de Noviembre del 2011)

--------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):



(11-11-2011 16:47:23 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):

[WinLogon\Notify\ASTYJYS]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\ASTYJYS.DLL (Notify).vir

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2011 17:12:55 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Users\HYDRO\Downloads\R_WAT 2.2.5.ZIP --> Eliminado, HackTool.Wpakill



Nº Total de Directorios: 72401

Nº Total de Ficheros: 505220

Nº de Ficheros Analizados: 88202

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(14-11-2011 08:29:36 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):

[WinLogon\Notify\ASTYJYS]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\ASTYJYS.DLL (Notify).vir

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-11-2011 09:00:53 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 72855

Nº Total de Ficheros: 520044

Nº de Ficheros Analizados: 88354

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-11-2011 09:19:20 (GMT))

EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Exploración):

Explorando "H:\"



Nº Total de Directorios: 2242

Nº Total de Ficheros: 40629

Nº de Ficheros Analizados: 14293

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[olagorta]

Estoy ejecutando el Elitriip (EliTotal.exe), y me pregunta que introduzca Ruta y Nombre del fichero. ¿Sabéis exactamente que debo introducir en este apartado? Muchas gracias por la respuesta.

[olagorta]

Hola!! Aquí os envío también el resultado del Sproces:



(14-11-2011 12:36:02 GMT)

SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows 7 Ultimate (v6.1)

Internet Explorer: (v9.0.8112.16421) 0

Equipo: SERVIDOR

Usuario: HYDRO

Sesión de Usuario: HYDRO



29 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WININIT.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\LSM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\PING.EXE

C:\WINDOWS\SYSTEM32\CONHOST.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INCREDIMAIL\BIN\IMAPP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\WINZIP\WINZIP32.EXE

C:\WINDOWS\EXPLORER.EXE

C:\USERS\HYDRO\DOWNLOADS\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:\\www.yahoo.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Messenger Plus ES Toolbar - {68e1863e-5acb-4f2f-8e2c-41c6a4c20ca2} - C:\Program Files\Messenger_Plus_ES\prxtbMess.dll (HKLM)

R3 - URLSearchHook: Softonic.com Toolbar - {56dad8fb-415b-4f9a-86e8-c17d58bca7c3} - C:\Program Files\Softonic.com\tbSof1.dll (file missing) (HKLM)

R3 - URLSearchHook: (no name) - {3796e649-4334-4cbf-89d3-a927554ad438} - (no file) (HKLM)

R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.7\pdfforgeToolbarIE.dll

R3 - URLSearchHook: Messenger Plus ES Toolbar - {68e1863e-5acb-4f2f-8e2c-41c6a4c20ca2} - C:\Program Files\Messenger_Plus_ES\prxtbMess.dll

R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

R3 - URLSearchHook: Softonic.com Toolbar - {56dad8fb-415b-4f9a-86e8-c17d58bca7c3} - C:\Program Files\Softonic.com\tbSof1.dll (file missing)

R3 - URLSearchHook: (no name) - {3796e649-4334-4cbf-89d3-a927554ad438} - (no file)

F2 - REG:system.ini: Taskman=

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Lexmark Barra de herramientas - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Softonic.com Toolbar - {56dad8fb-415b-4f9a-86e8-c17d58bca7c3} - C:\Program Files\Softonic.com\tbSof1.dll (file missing)

O2 - BHO: Messenger Plus ES - {68e1863e-5acb-4f2f-8e2c-41c6a4c20ca2} - C:\Program Files\Messenger_Plus_ES\prxtbMess.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office14\GROOVEEX.DLL

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll

O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL

O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.7\pdfforgeToolbarIE.dll

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: Lexmark - {D2C5E510-BE6D-42CC-9F61-E4F939078474} - C:\Program Files\Lexmark Printable Web\bho.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: Softonic.com Toolbar - {56dad8fb-415b-4f9a-86e8-c17d58bca7c3} - C:\Program Files\Softonic.com\tbSof1.dll (file missing)

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O3 - Toolbar: Messenger Plus ES Toolbar - {68e1863e-5acb-4f2f-8e2c-41c6a4c20ca2} - C:\Program Files\Messenger_Plus_ES\prxtbMess.dll

O3 - Toolbar: (no name) - 10 - (no file)

O3 - Toolbar: Lexmark Barra de herramientas - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.7\pdfforgeToolbarIE.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKLM\..\Run: [PlusService] C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe

O4 - HKLM\..\Run: [lxeemon.exe] "C:\Program Files\Lexmark Pro700 Series\lxeemon.exe"

O4 - HKLM\..\Run: [Lexmark Pro700 Series Fax Server] "C:\Program Files\Lexmark Pro700 Series\fm3032.exe" /s

O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark Pro700 Series\ezprint.exe"

O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe

O4 - Global Startup: BTTray.lnk = C:\Program Files\Conceptronic\Software Bluetooth\BTTray.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = C:\Windows\Installer\{AC76BA86-1040-7D00-7760-000000000003}\_SC_Acrobat.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: Abrir imagen en &Microsoft PhotoDraw - res://C:\PROGRA~1\MIC581~1\Office\3082\phdintl.dll/phdContext.htm

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Program Files\Conceptronic\Software Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html

O8 - Extra context menu item: S&end to OneNote - res://C:\PROGRA~1\MICROS~3\Office14\ONBttnIE.dll/105

O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll

O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIFE82~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab

O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (BitDefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1270732741958

O16 - DPF: {648B424D-2FD9-4F13-9417-EC8466614673} (SDFlPlyr Control) - https://software.securitasdirect.es/viewer/activex/sdflplyr.cab

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab

O16 - DPF: {80AEEC0E-A2BE-4B8D-985F-350FE869DC40} (HPDDClientExec Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsVista.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_26) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} (Java Plug-in 1.6.0_26) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_26) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash5r42.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{786530D8-F7F6-4C06-8A5A-1794638D4B4F}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\Windows\system32\btxppanel.dll

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O20 - Winlogon Notify: ASTYJYS - C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\ASTYJYS.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~3\Office14\GROOVEEX.DLL



Información Adicional:

----------------------

.scr: AutoCADScriptFile -> C:\Windows\system32\notepad.exe "%1"

WinSys\Drivers\adp94xx.sys (de 422976 bytes) () Adaptec, Inc.

WinSys\Drivers\aswSnx.sys (de 441176 bytes) () AVAST Software

WinSys\Drivers\bxvbdx.sys (de 430080 bytes) () Broadcom Corporation

WinSys\Drivers\dxgkrnl.sys (de 728448 bytes) () Microsoft Corporation

WinSys\Drivers\elxstor.sys (de 453712 bytes) () Emulex

WinSys\Drivers\http.sys (de 513536 bytes) () Microsoft Corporation

WinSys\Drivers\ndis.sys (de 712576 bytes) () Microsoft Corporation

WinSys\Drivers\PEAuth.sys (de 586752 bytes) () Microsoft Corporation

WinSys\Drivers\spsys.sys (de 405504 bytes) () Microsoft Corporation

WinSys\Drivers\Wdf01000.sys (de 445008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: aswMonFlt - AVAST Software - C:\Windows\system32\drivers\aswMonFlt.sys

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe

O23 - Service: avast! Firewall - AVAST Software - C:\Program Files\AVAST Software\Avast\afwServ.exe

O23 - Service: Bluetooth Serial Driver (BTSERIAL) - Broadcom Corporation. - C:\Windows\system32\drivers\btserial.sys

O23 - Service: Bluetooth Port Client Driver (BTSLBCSP) - Broadcom Corporation. - C:\Windows\system32\drivers\btslbcsp.sys

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Conceptronic\Software Bluetooth\bin\btwdins.exe

**O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: Firebird Server - Firebird 2.1 Sage Instance (FirebirdServerFirebird 2.1 Sage Instance) - Unknown owner - C:\Program Files\Firebird 2.1\bin\fbserver.exe" -s "Firebird 2.1 S (file missing)

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: HP Network Devices Support (HPSLPSVC) - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k HPService - C:\Program Files\HP\Digital Imaging\bin\HPSLPSVC32.DLL

O23 - Service: lxeeCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxeeserv.exe

O23 - Service: lxee_device - - C:\Windows\system32\lxeecoms.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\Windows\system32\HPZinw12.dll

O23 - Service: NetGroup Packet Filter Driver (NPF) - CACE Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\Windows\system32\HPZipm12.dll

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: SPService - Unknown owner - C:\Windows\system32\svchost.exe -k netsvc - c:\programdata\adobe\sp.dll (file missing)

O23 - Service: srenum (srenum.old) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\srenum.sys (file missing)

O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

**O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - %SystemRoot%\System32\svchost.exe -k secsvcs - %ProgramFiles%\Windows Defender\mpsvc.dll (file missing)

O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adp94xx.sys

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpahci.sys

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\djsvs.sys

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RTKVAC.SYS

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

O23 - Service: amdsata - Advanced Micro Devices - C:\WINDOWS\system32\drivers\amdsata.sys

O23 - Service: amdsbs - AMD Technologies Inc. - C:\WINDOWS\system32\DRIVERS\amdsbs.sys

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arc.sys

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arcsas.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: Broadcom NetXtreme II VBD (b06bdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\bxvbdx.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 (b57nd60x) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60x.sys

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltLo.sys

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltUp.sys

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\Brserid.sys

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrSerWdm.sys

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbMdm.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbSer.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

O23 - Service: dgderdrv - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\dgderdrv.sys (file missing)

O23 - Service: Intel(R) PRO Adapter Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Broadcom NetXtreme II 10 GigE VBD (ebdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\evbdx.sys

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\DRIVERS\elxstor.sys

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: FsUsbExDisk - Unknown owner - C:\Windows\system32\FsUsbExDisk.SYS

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Hauppauge Consumer Infrared Receiver (hcw85cir) - Hauppauge Computer Works, Inc. - C:\WINDOWS\system32\drivers\hcw85cir.sys

O23 - Service: HpSAMD - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\HpSAMD.sys

O23 - Service: Controladora RAID de Intel para Windows 7 (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iaStorV.sys

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\DRIVERS\iirsp.sys

O23 - Service: LSI_FC - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_fc.sys

O23 - Service: LSI_SAS - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas.sys

O23 - Service: LSI_SAS2 - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas2.sys

O23 - Service: LSI_SCSI - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_scsi.sys

O23 - Service: LUMDriver - IBM - C:\Windows\system32\drivers\LUMDriver.sys

O23 - Service: MBAMSwissArmy - Unknown owner - C:\Windows\system32\drivers\mbamswissarmy.sys (file missing)

O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\DRIVERS\megasas.sys

O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\DRIVERS\MegaSR.sys

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\DRIVERS\nfrd960.sys

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvmfdx32.sys

O23 - Service: nvlddmkm - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvlddmkm.sys

O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: ql2300 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql2300.sys

O23 - Service: ql40xx - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql40xx.sys

O23 - Service: Revoflt - VS Revo Group - C:\WINDOWS\SYSTEM32\DRIVERS\revoflt.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\DRIVERS\sisraid4.sys

O23 - Service: USB2.0 PC Camera (SNP2STD) (SNP2STD) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snp2sxp.sys

O23 - Service: SAMSUNG Android USB Composite Device driver (WDM) (ssadbus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ssadbus.sys

O23 - Service: SAMSUNG Android USB Modem (Filter) (ssadmdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ssadmdfl.sys

O23 - Service: SAMSUNG Android USB Modem Drivers (ssadmdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ssadmdm.sys

O23 - Service: stexstor - Promise Technology - C:\WINDOWS\system32\DRIVERS\stexstor.sys

O23 - Service: Synth3dVsc - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\synth3dvsc.sys (file missing)

O23 - Service: TeamViewer VPN Adapter (teamviewervpn) - TeamViewer GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\teamviewervpn.sys

O23 - Service: @%SystemRoot%\system32\drivers\tsusbhub.sys,-1 (tsusbhub) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\tsusbhub.sys (file missing)

O23 - Service: VGPU - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\rdvgkmd.sys (file missing)

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\DRIVERS\vsmraid.sys

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------



92 Servicios.

23 de Carga Automatica.

69 de Carga Manual.

0 Deshabilitados.



Gracias!!!!

[msc hotline sat]

En el log del SPROCES vemos este fichero sospechoso:



C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\ASTYJYS.DLL





Envianoslo para analizar.



saludos



ms, 14-11-2011







nota: y resulta que ya lo pedimos en el infosat !!!:


[quote]EliStartPage v24.25 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2011)

--------------------------------------------------

Usuario: HYDRO

ID de Usuario: S-1-5-21-2299949059-156154103-3742052571-1000



Lista de Acciones (por Acción Directa):

[WinLogon\Notify\ASTYJYS]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\ASTYJYS.DLL (Notify).vir

a "virus@satinfo.es". Gracias.[/quote]

para enviarlo, recordar:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



y respecto al ALureon del MBR, el ELISTARA ya lo ha solucionado:



tectado Alureon(mbr) en MBR del HD0

Restaurado MBR del HD0

Detectado Alureon(mbr) en MBR del HD1

Restaurado MBR del HD1

Restaurado MBR del HD2

Restaurado MBR del HD3

Reinicie para Completar la Limpieza.





saludos



ms, 14-11-2011

[olagorta]

Hola, de nuevo. Ya os he enviado el fichero sospechoso al que hacíais referencia, pero esta vez con contraseña, perdonad la omisión. Espero lo hayáis recibido.

Por otro lado, he reiniciado el equipo para completar la limpieza, pero un pantallazo azul que me salía cuando arrancaba en modo normal, y que afecta al fichero: "ataport.sys", pensaba que lo provocaba el virus Alureon, pero se me sigue rompiendo el sistema al iniciar en modo normal... Créeis que haya afectado el virus a algún sector del disco y por eso se rompe? Gracias por vuestra ayuda.

[msc hotline sat]

Recibido y pasado a controlar en el siguiente ELISTARA 24.26 como malware PROXY BUNITU



Editaremos noticia al respecto.



saludos



ms, 14-11-2011

[msc hotline sat]

Info de la muestra recibida:



http://www.zonavirus.com/noticias/2011/malware-proxy-bunitu.asp



saludos



ms, 14-11-2011



NOTA: y sobre el ataport.sys es un fichero del Windows 7, quizas lo tiene dañado.



Device Type: Hard Disk Controller

Manufacturer: Microsoft

Model: ataport.sys

Interface: IDE



Si persiste el mensaje de error, reponga dicho fichero de otro sistema con igual version. ms.

[olagorta]

Hola, aún sigo con problemas, y lo que me provocaba el error del pantallazo azul y que apuntaba al fichero ataport.sys era el antivirus (Avast Internet Security), que lo he tenido que volver a desinstalar para que pueda trabajar en modo normal.

Y todavía no puedo enviar emails, la bandeja de salida me sigue dando el error "452 try later", y es desesperante...

Telefónica me dice que no tengo bloqueado el puerto 25, pero yo creo que sí, ¿qué podría hacer al respecto? ¿Pasaría algún antivirus online para ver si detecto algo? Y en ese caso, ¿cuál? Porque yo creo que ya hemos limpiado el Alureon y el Proxi Bunitus, que se detectó con el Sproces, y no sé qué más podré hacer... Gracias por vuestra ayuda.

[msc hotline sat]

Pues sí que parece un bloqueo del port 25 por parte de Telefonica:



http://www.foroimagenio.com/t5/Spam-Hacking-y-otros-abusos-en/Telefonica-rechaza-nuestros-env%C3%ADos-de-correo-con-un-c%C3%B3digo-de/m-p/128574#M351



Pero si ellos dicen lo contrario, con la Iglesia hemos topado ! ...



Te miro si encuentro como comprobar si lo tienes abierto o no y te digo algo.



ms.

[msc hotline sat]

Mira si desde una sesión al DOS, lanzando esta secuencia, tienes conexion o no:



TELNET smtp.gmail.com 25 <enter>





Si te indica que "no puede abrir la conexion al host en puerto 25 : Error en la conexión" , es que tienes el port capado.



Si en cambio comunicas, es que lo tienes abierto.



Ya nos contarás.



saludos



ms, 15-11-2011

[olagorta]

Hola, he intentado en una sesión del DOS ejecutar el comando, pero me dice "TELNET no se reconoce como un comando interno ó externo, programa o archivo por lotes ejecutable", lo tendré que hacer con el CD de Windows en Reparar Equipo?

[olagorta]

No se me carga Telnet tampoco iniciando el ordenador con el CD del Windows en modo DOS, qué puedo hacer? Además, no estoy con gmail, tenemos dominio propio alojado en el servidor de telefonica, imagino que sería TELNET smtp.telefonica.es 25, no? Gracias

[msc hotline sat]

No, en modo seguro con solo simbolo de sistema no tiene acceso a internet para hacer lo indicado !



Arranque normal, y desde una ventana al DOS, o desde Inicio -> Ejecutar , lance la secuencia antes indicada.



saludos



ms, 15-11-2011

[olagorta]

Ni en modo normal, tengo Windows 7, ejecuto el command para ir al DOS, aún así escribo el comando y no me lo reconoce....

[msc hotline sat]

Descarga la ultima version del ELISTARA (24.27) y tras ejecutarla, dispondrás en el XP de la opcion Ejecutar dentro del Inicio.



Tras ello lanza el Inicio -> Ejecutar del TELNET indicado.



Asi a nosotros nos ha funcionado OK.



saludos



ms, 15-11-2011

[olagorta]

Me he dado cuenta que no tenía habilitada la característica en Programas y Características, y en Windows 7 no viene por defecto, voy a probar y os cuento. Gracias.

[olagorta]

Hola, he habilitado en Programas y Características ´(Panel de Control - Programas - Programas y Características) la opción de Telnet, y efectivamente, así como para el puerto de entrada pop en el 110 me conecto sin problema al servidor de telefónica, el smtp en el puerto 25 no se conecta, y debe ser por estar incluida nuestra ip en una lista negra. Resulta que he descubierto que está en la lista CBL, que me acabo de borrar, pero no sé si se habrán limpiado los equipos suficientemente. Si no es así, nos vuelven a incluir en esa lista... En fin, sólo me queda analizar equipo a equipo cuál es el que han utilizado para el envío de correo spam... Bueno, os mantengo informados.

[msc hotline sat]

Pero es que aunque estuvieras en listas negras, podrias enviar mails, al menos a tí mismo, prueba de hacerlo y nos cuentas el resultado.



saludos



ms, 17-11-2011

[olagorta]

Buenos días!!! Efectivamente, me habían bloqueado el puerto 25 desde telefónica, y después de hablar con ellos, ya me han solucionado el problema. Pero aún me siguen llegando notificaciones del centro "nemesys@telefonica.es", en el que aún nos detectan algún equipo infectado, pues me dicen que les llegan quejas de otros usuarios por recibir masivamente correo spam, y que tiene su origen en nuestro nº de teléfono. Yo ya he limpiado y desinfectado los equipos, pero creo que voy a tener que cambiar la contraseña del router de telefónica, pues puede ser que nos hayan pillado por esta vía, y no podemos hacer nada hasta que la cambie... En fin, os sigo contando esta historia interminable, a ver cómo acaba...

[msc hotline sat]

Al menos ya ha aclarado que le tenían cerrado el port 25..., y lo demás, una vez limpios todos los ordenadores, si usa wifi, efectivamente cambie la contraseña, ya que pueden estar usando su red enviando dichos mails-spam.



Esperamos que tras ello se termine el problema, informenos al respecto para poder dar por solucionado el Tema, gracias



saludos



ms, 18-11-2011

[olagorta]

Hola, en este momento no tengo el wifi habilitado, pues la red es por cableado ethernet, y no hacía falta contraseña para el router. Algún troyano que nos ha entrado ha podido habilitar algún acceso remoto, así que he examinado equipo por equipo y algunos tenían habilitada la opción, por lo que los he deshabilitado a todos por si acaso...

En fin, creo que ya se puede dar por solucionado el tema, de momento ya va todo bastante bien.

Gracias por todo, y un saludo.

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 18-11-2011