Hola de nuevo, parece que me toca todo a mi...
La cuestión es que ayer sufrí las consecuencias de un FAKE TOOL y me empezó a dar fallos el disco y a ocultarse iconos y programas.
Tras pasar el Elistara, me detectó un troyano y me pidió enviar un par de archivos, lo cual hice y parece que han sido incorporados al último Elistara de hoy (24.89). Además con el Attribe desde el dos saque los archivos y a funcionar.
El tema es que hace un rato he descargado el Elistara 24.89 y me ha detectado el FAKE TOOL, me ha preguntado lo del atributo + H, le he puesto que si y ha seguido escaneando y detectando hasta 14-15 archivos infectados con un tal Waledac.
Al llegar a uno en concreto, en este caso al archivo winlogon.exe (creo que en el directorio Windows) y marcarlo la exploración del Elistara con un Waledac, sale una pantalla que pone algo así como que no es posible eliminar el archivo y que en el siguiente reinicio lo hará y a continuación reinicia sólo. Pero por mucho que reinicio y le paso el Elistara de nuevo, siempre se para en el mismo sitio y pone lo mismo.
Además, he observado que desde el primer reinicio, cuando sale la pantalla de XP, antes de la bienvenida, sale un error que dice más o menos (no me da tiempo a copiarlo porque sale a continuación el binvenido y el menu de inicio) - "autochk program no found: skipping autocheck".
No he seguido haciendo nada hasta nuevas instrucciones, os pego el Infosat, donde vereis que incluso da un error raro:
(15-2-2012 17:45:02 (GMT))
EliStartPage v24.87 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 14 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 17:45:10 (GMT))
EliStartPage v24.87 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 14 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 17:55:53 (GMT))
EliStartPage v24.87 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 14 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11435
Nº Total de Ficheros: 284296
Nº de Ficheros Analizados: 23115
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(15-2-2012 19:39:35 (GMT))
EliStartPage v24.88 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 19:39:43 (GMT))
EliStartPage v24.88 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 19:47:13 (GMT))
EliStartPage v24.88 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11547
Nº Total de Ficheros: 284241
Nº de Ficheros Analizados: 23174
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(16-2-2012 19:25:08 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:25:17 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:41:02 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:41:10 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:50:50 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:50:59 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 20:08:03 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 20:08:11 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
Gracias de antemano.
Empece con un FAKETOOL y ahora un Waledac (TERMINADO)
Re: Empece con un FAKETOOL y ahora un Waledac
Buenas,
A mi con la versión de ElistarA 24.89 me ha detectado ese troyano Waledac en varios archivos del sistema. Entre ellos el kernel32.dll. Lo he restaurado y me lo vuelve a detectar como troyano Waledac. Es un falso positivo?
También ocurre entre otros archivos del sistema, como el autochk. Supongo que mana lo habrá eliminado y por eso le aparece ese mensaje.
Si necesitáis que os pase algún fichero avisadme.
Gracias. Saludos
A mi con la versión de ElistarA 24.89 me ha detectado ese troyano Waledac en varios archivos del sistema. Entre ellos el kernel32.dll. Lo he restaurado y me lo vuelve a detectar como troyano Waledac. Es un falso positivo?
También ocurre entre otros archivos del sistema, como el autochk. Supongo que mana lo habrá eliminado y por eso le aparece ese mensaje.
Si necesitáis que os pase algún fichero avisadme.
Gracias. Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
Mientras miramos lo del WALEDAC, por si se tratara de un falso positivo con dichos ficheros, ya que ayer se implementaron el control de 5 nuevas variantes de esta familia, empezaremos con lo que tienes seguro:
Error de Escritura en el MBR.
Ello quiere decir que el codigo del MBR contiene rutinas anomalas, posiblemente maliciosas, que impiden la escritura y consecuentemente lanzan algun troyano (que puede estar en sectores físicos, al final del disco duro o incluso en el landing zone)
Si el ordenador tiene una paticion standar, como es de suponer, arranca con el CD de instalacion de windows, pulsa R para entrar en CONSOLA DE RECUPERACION y desde halla lanza FIXMBR <enter> , lo cual sobreescribirá el código de dicho sector, eliminando el virus y manteniendo datos y demás.
Tan pronto como hayamos revisado y en su caso corregido el ELISTARA actual, lo indicaremos para que pueda probarlo de nuevo.
saludos
ms, 17-2-2012
RSPOV
Error de Escritura en el MBR.
Ello quiere decir que el codigo del MBR contiene rutinas anomalas, posiblemente maliciosas, que impiden la escritura y consecuentemente lanzan algun troyano (que puede estar en sectores físicos, al final del disco duro o incluso en el landing zone)
Si el ordenador tiene una paticion standar, como es de suponer, arranca con el CD de instalacion de windows, pulsa R para entrar en CONSOLA DE RECUPERACION y desde halla lanza FIXMBR <enter> , lo cual sobreescribirá el código de dicho sector, eliminando el virus y manteniendo datos y demás.
Tan pronto como hayamos revisado y en su caso corregido el ELISTARA actual, lo indicaremos para que pueda probarlo de nuevo.
saludos
ms, 17-2-2012
RSPOV
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Empece con un FAKETOOL y ahora un Waledac
Así lo haré (eso sí, tengo que buscar el cd original de xp - ¿ande andará...?).
En cuanto a los archivos que me pudo eliminar el Elistara, hasta llegar al famoso winlogon.exe (donde se para y reinicia), ¿son necesarios?¿se pueden restaurar?
Gracias
En cuanto a los archivos que me pudo eliminar el Elistara, hasta llegar al famoso winlogon.exe (donde se para y reinicia), ¿son necesarios?¿se pueden restaurar?
Gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
En el infosat que nos ha posteado no aparece que se haya eliminado ningun fichero al respecto, no se a cuales se refiere ???
saludos
ms, 17-2-2102.
saludos
ms, 17-2-2102.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Empece con un FAKETOOL y ahora un Waledac
Ayer cuando pase por primera vez el Elistara y me detectó el FAKETOOL y me salió la pregunta de los atributos +H (donde marqué SI), siguió explorando y detectó 14-15 archivos infectados por WALEDAC, hasta que llegó al fichero winlogon.exe que es donde se para, dice que no puede eliminarlo y reinicia automáticamente el PC.
Me da la sensación que uno de los que se borró (de los citados 14-15 archivos), sería el Autochk, que ahora es el que no encuentra el windows al arrancar... ¿no?
Es extraño que no aparezcan en el Infosat, pero también es cierto que el Elistara no llega a su final por el referido reinicio.
Saludos
Me da la sensación que uno de los que se borró (de los citados 14-15 archivos), sería el Autochk, que ahora es el que no encuentra el windows al arrancar... ¿no?
Es extraño que no aparezcan en el Infosat, pero también es cierto que el Elistara no llega a su final por el referido reinicio.
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
Hemos comprobado que en uno de los bloques de 10 kB de la muestra 14 del WALEDAC, eran todo codigos nulos (00) y de dicho bloque, el MD5 coincidia con los ficheros que tambien tuvieran los mismos codigos nulos en dicho bloque, lo cual provocaba el falso positivo.
Ello no había sucedido en las miles de cadenas de MD5 que se controlan, pero visto que puede suceder, ya hemos implementado el control para evitarlo en el futuro.
Estamos corrigiendo dicha falsa detección y tan pronto lo tengamos hecho y compliado lo subiremos a la web y lo notificaremos. Mientras hemos vuelto a poner el ELISTARA del día anterior.
No vemos que hubiera llegado a eliminar ninguno (el que intentó, no pudo por estar en uso), pero si hubiera sido el caso, con una REPARACION DE SISTEMA se solucionaría.
Puntualmente si encuentra a faltar un fichero, puede copiarse de otro ordenador con igual sistema operativo, mucho mas rapido que lanzar dicha REPARACION DE SISTEMA.
Lamentamos el incidente, debido al gran numero de nuevas detecciones diarias y a la circuntancia del bloque de codigos nulos en cuestion.
ya estamos compilando la nueva utilidad y en minutos estará disponible.
saludos
ms, 17-2-2012
Ello no había sucedido en las miles de cadenas de MD5 que se controlan, pero visto que puede suceder, ya hemos implementado el control para evitarlo en el futuro.
Estamos corrigiendo dicha falsa detección y tan pronto lo tengamos hecho y compliado lo subiremos a la web y lo notificaremos. Mientras hemos vuelto a poner el ELISTARA del día anterior.
No vemos que hubiera llegado a eliminar ninguno (el que intentó, no pudo por estar en uso), pero si hubiera sido el caso, con una REPARACION DE SISTEMA se solucionaría.
Puntualmente si encuentra a faltar un fichero, puede copiarse de otro ordenador con igual sistema operativo, mucho mas rapido que lanzar dicha REPARACION DE SISTEMA.
Lamentamos el incidente, debido al gran numero de nuevas detecciones diarias y a la circuntancia del bloque de codigos nulos en cuestion.
ya estamos compilando la nueva utilidad y en minutos estará disponible.
saludos
ms, 17-2-2012
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
Ya está disponible en la web la nueva version 24.90 del ELISTARA
http://www.zonavirus.com/descargas/elistara.asp
Disculpen las molestias.
saludos
ms, 17-2-2012
http://www.zonavirus.com/descargas/elistara.asp
Disculpen las molestias.
saludos
ms, 17-2-2012
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Empece con un FAKETOOL y ahora un Waledac
OK, entonces entiendo que no hace falta que haga nada para resolver lo del MBR, tan sólo pasar el último Elistara e igual termina el proceso y escaneo de archivos y da el resultado ¿no?
En cuanto al error que me da del archivo Autochk, lo copiaré desde otro ordenador con XP.
Saludos
En cuanto al error que me da del archivo Autochk, lo copiaré desde otro ordenador con XP.
Saludos
Re: Empece con un FAKETOOL y ahora un Waledac
He pasado ya el nuevo Elistara y todo perfecto, ya no sale ningún aviso. Pego el Infosat:
(15-2-2012 17:45:02 (GMT))
EliStartPage v24.87 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 14 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 17:45:10 (GMT))
EliStartPage v24.87 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 14 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 17:55:53 (GMT))
EliStartPage v24.87 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 14 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11435
Nº Total de Ficheros: 284296
Nº de Ficheros Analizados: 23115
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(15-2-2012 19:39:35 (GMT))
EliStartPage v24.88 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 19:39:43 (GMT))
EliStartPage v24.88 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 19:47:13 (GMT))
EliStartPage v24.88 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11547
Nº Total de Ficheros: 284241
Nº de Ficheros Analizados: 23174
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(16-2-2012 19:25:08 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:25:17 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:41:02 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:41:10 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:50:50 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:50:59 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 20:08:03 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 20:08:11 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(17-2-2012 10:39:46 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(17-2-2012 10:39:55 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(17-2-2012 10:47:49 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11579
Nº Total de Ficheros: 283562
Nº de Ficheros Analizados: 23051
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(17-2-2012 11:06:33 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(17-2-2012 11:06:42 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(17-2-2012 11:14:24 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11580
Nº Total de Ficheros: 283574
Nº de Ficheros Analizados: 23053
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sobre el error del archivo autochk.exe, lo he copiado del disco original y ya no me aparece al arrancar el aviso "no found..."
Ahora sólo me queda lo del MBR.
Saludos
(15-2-2012 17:45:02 (GMT))
EliStartPage v24.87 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 14 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 17:45:10 (GMT))
EliStartPage v24.87 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 14 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 17:55:53 (GMT))
EliStartPage v24.87 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 14 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11435
Nº Total de Ficheros: 284296
Nº de Ficheros Analizados: 23115
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(15-2-2012 19:39:35 (GMT))
EliStartPage v24.88 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 19:39:43 (GMT))
EliStartPage v24.88 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(15-2-2012 19:47:13 (GMT))
EliStartPage v24.88 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 15 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11547
Nº Total de Ficheros: 284241
Nº de Ficheros Analizados: 23174
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(16-2-2012 19:25:08 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:25:17 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:41:02 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:41:10 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:50:50 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 19:50:59 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 20:08:03 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(16-2-2012 20:08:11 (GMT))
EliStartPage v24.89 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(17-2-2012 10:39:46 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(17-2-2012 10:39:55 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(17-2-2012 10:47:49 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11579
Nº Total de Ficheros: 283562
Nº de Ficheros Analizados: 23051
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(17-2-2012 11:06:33 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(17-2-2012 11:06:42 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(17-2-2012 11:14:24 (GMT))
EliStartPage v24.90 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11580
Nº Total de Ficheros: 283574
Nº de Ficheros Analizados: 23053
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sobre el error del archivo autochk.exe, lo he copiado del disco original y ya no me aparece al arrancar el aviso "no found..."
Ahora sólo me queda lo del MBR.
Saludos
Re: Empece con un FAKETOOL y ahora un Waledac
DUDA...
Estoy ahora con el tema del MBR y me surge la siguiente duda,
AL entrar en la consola de recuperación, me pregunta que sobre que unudad quiero actuar, pongo 1 (que es la única que me aparece como c:\windows) y me sale lo siguiente:
"Este equipo parece tener un registro principal no estandar o no válido.
FIXMBR puede dañar sus tables de particiones si continua.
Esto podría ocasionar que todas las particiones del disco duro actual queden inaccesibles.
Si no tiene problemas para obtener acceso a su unidad, no continue.
¿Esta seguro de que quiere escribir un nuevo registro de arranque?"
¿Es normal?¿pongo S?...
Gracias
Estoy ahora con el tema del MBR y me surge la siguiente duda,
AL entrar en la consola de recuperación, me pregunta que sobre que unudad quiero actuar, pongo 1 (que es la única que me aparece como c:\windows) y me sale lo siguiente:
"Este equipo parece tener un registro principal no estandar o no válido.
FIXMBR puede dañar sus tables de particiones si continua.
Esto podría ocasionar que todas las particiones del disco duro actual queden inaccesibles.
Si no tiene problemas para obtener acceso a su unidad, no continue.
¿Esta seguro de que quiere escribir un nuevo registro de arranque?"
¿Es normal?¿pongo S?...
Gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
Salvo que supieras que has instalado una particion especial (doble para WIndows y Linux por ejemplo), es normal que detecte rarezas, ya que por esto queremos corregirla
Por eso lo hacemos !
saludos
ms, 17-2-2012
Por eso lo hacemos !
saludos
ms, 17-2-2012
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Empece con un FAKETOOL y ahora un Waledac
Ya he ejecutado el FIXMBR desde la consola de recuperacion.
He aprovechado para descargar y pasar el último Elistara que no me ha detectado nada malo, pero veo que en el Infosat, sigue figurando el error MBR, lo copio:
(18-2-2012 08:33:35 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:33:43 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:41:42 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11580
Nº Total de Ficheros: 283573
Nº de Ficheros Analizados: 23051
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
¿Hago alguna cosa más?
Gracias y saludos.
He aprovechado para descargar y pasar el último Elistara que no me ha detectado nada malo, pero veo que en el Infosat, sigue figurando el error MBR, lo copio:
(18-2-2012 08:33:35 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:33:43 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:41:42 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11580
Nº Total de Ficheros: 283573
Nº de Ficheros Analizados: 23051
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
¿Hago alguna cosa más?
Gracias y saludos.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
Pues si el FIXMBR lo has hecho arrancando con el CD de instalacion y tras acceder a la CONSOLA DE RECUPERACION y dese alli has lanzado el FIXMBR, debería haber corregido el MBR...
Seguro que has arrancado con el CD de instalacion ???
Si es asi es que tienes algo (quizas un ejecutable) que te vuelve a modificar dicho MBR, y en tal caso habremos de buscarlo, pero primero confirmame si has arrancado con el CD de instalacion de windows, que es lo mas fácil ...
saludos
ms, 18-2-2012
Seguro que has arrancado con el CD de instalacion ???
Si es asi es que tienes algo (quizas un ejecutable) que te vuelve a modificar dicho MBR, y en tal caso habremos de buscarlo, pero primero confirmame si has arrancado con el CD de instalacion de windows, que es lo mas fácil ...
saludos
ms, 18-2-2012
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Empece con un FAKETOOL y ahora un Waledac
Creo que si que arranco con el cd de instalación. Lo meto en la unidad, apago el equipo y lo arranco. Me dice lo de "Presione cualquier tecla para iniciar desde el CD" y tras ello sale pantalla de instalación, donde se cargan los drivers.
Luego marco "r" y me sale al c:\windows\, donde pongo FIXMBR y digo S.
A continuación me dice: "Escribiendo el nuevo registro de arranque MBR en la unidad física \Device\Harddisk0\Partition0. Se ha escrito correctamente el nuevo registro de inicio principal".
He vuelto a hacer esto y he vueto a pasar Elistara, pero sigue igual:
(18-2-2012 08:33:35 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:33:43 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:41:42 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11580
Nº Total de Ficheros: 283573
Nº de Ficheros Analizados: 23051
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(18-2-2012 10:16:24 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 10:16:32 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 10:24:44 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11582
Nº Total de Ficheros: 283581
Nº de Ficheros Analizados: 23055
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Saludos
Luego marco "r" y me sale al c:\windows\, donde pongo FIXMBR y digo S.
A continuación me dice: "Escribiendo el nuevo registro de arranque MBR en la unidad física \Device\Harddisk0\Partition0. Se ha escrito correctamente el nuevo registro de inicio principal".
He vuelto a hacer esto y he vueto a pasar Elistara, pero sigue igual:
(18-2-2012 08:33:35 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:33:43 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:41:42 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11580
Nº Total de Ficheros: 283573
Nº de Ficheros Analizados: 23051
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(18-2-2012 10:16:24 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 10:16:32 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 10:24:44 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11582
Nº Total de Ficheros: 283581
Nº de Ficheros Analizados: 23055
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
Pues si señor, lo haces bien !
Entonces solo cabe pensar que en tu arranque de windows hay algun malware que te vuelve a infectar el MBR.
Vamos a ver si lo vemos con el SPROCES:
lo analizaremos e informaremos al respecto.
saludos
ms, 18-2-2012
Entonces solo cabe pensar que en tu arranque de windows hay algun malware que te vuelve a infectar el MBR.
Vamos a ver si lo vemos con el SPROCES:
[quote="msc"][b]SPROCES.EXE(herramienta de investigación) [/b] http://www.zonavirus.com/descargas/descargar-sproces.asp
Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT[/quote]
lo analizaremos e informaremos al respecto.
saludos
ms, 18-2-2012
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Empece con un FAKETOOL y ahora un Waledac
Aquí está:
(18-2-2012 11:01:38 GMT)
SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Equipo: CASA
Usuario: Batxi
Sesión de Usuario: Batxi
30 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\DIVX\DIVX UPDATE\DIVXUPDATE.EXE
C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\RESEARCH IN MOTION\USB DRIVERS\RIMBBLAUNCHAGENT.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\DOCUMENTS AND SETTINGS\BATXI\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\AKAMAI\NETSESSION_WIN.EXE
C:\DOCUMENTS AND SETTINGS\BATXI\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\AKAMAI\NETSESSION_WIN.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\DOCUMENTS AND SETTINGS\BATXI\MIS DOCUMENTOS\PROGRAMAS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;127.0.0.1:9421; (0)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Batxi\Configuración local\Datos de programa\Akamai\netsession_win.exe"
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_es-ES;_rv:1.9.1.3)_Gecko/20090824_Firefox/3.5.3_(.NET_CLR_3.5.30729)_" -"http://cc.porsche.com/icc_euro/ui/pva/application/bpModules/interior_3D.jsp?pluginsInstalled=true&RT=1284018017146
O4 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [APSDaemon] "C:\Archivos de programa\Archivos comunes\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RIMBBLaunchAgent.exe] C:\Archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE /tsr
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000 (User 'Administrador')
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab Class) -http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1240058879968
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) -http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_21) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
Información Adicional:
----------------------
Error de Escritura en el MBR.
WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.
WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation
WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.
WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation
WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link
WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS
**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Smartphone BlackBerry (RimUsb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys (file missing)
O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS
O23 - Service: 913D Camera (SQTECH913D) - Service & Quality Technology. - C:\WINDOWS\SYSTEM32\Drivers\Capt913D.sys
O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys
Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys
O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)
24 Servicios.
5 de Carga Automatica.
15 de Carga Manual.
4 Deshabilitados.
Saludos
(18-2-2012 11:01:38 GMT)
SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Equipo: CASA
Usuario: Batxi
Sesión de Usuario: Batxi
30 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\DIVX\DIVX UPDATE\DIVXUPDATE.EXE
C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\RESEARCH IN MOTION\USB DRIVERS\RIMBBLAUNCHAGENT.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\DOCUMENTS AND SETTINGS\BATXI\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\AKAMAI\NETSESSION_WIN.EXE
C:\DOCUMENTS AND SETTINGS\BATXI\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\AKAMAI\NETSESSION_WIN.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\DOCUMENTS AND SETTINGS\BATXI\MIS DOCUMENTOS\PROGRAMAS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Search Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;127.0.0.1:9421; (0)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Batxi\Configuración local\Datos de programa\Akamai\netsession_win.exe"
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_es-ES;_rv:1.9.1.3)_Gecko/20090824_Firefox/3.5.3_(.NET_CLR_3.5.30729)_" -"
O4 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [APSDaemon] "C:\Archivos de programa\Archivos comunes\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RIMBBLaunchAgent.exe] C:\Archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE /tsr
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000 (User 'Administrador')
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab Class) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_21) -
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
Información Adicional:
----------------------
Error de Escritura en el MBR.
WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.
WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation
WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.
WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation
WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link
WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS
**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Smartphone BlackBerry (RimUsb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys (file missing)
O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS
O23 - Service: 913D Camera (SQTECH913D) - Service & Quality Technology. - C:\WINDOWS\SYSTEM32\Drivers\Capt913D.sys
O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys
Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys
O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)
24 Servicios.
5 de Carga Automatica.
15 de Carga Manual.
4 Deshabilitados.
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
Pues aparte de ratificar la anomalía:
vemos algo raro:
C:\DOCUMENTS AND SETTINGS\BATXI\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\AKAMAI\NETSESSION_WIN.EXE
no conocemos este fichero, si no lo conoces y no es voluntario, añadele .VIR a su extension y envianoslo para analizar.
Para ello recordar[/b] :
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras hacer lo indicado, ya no se cargará de nuevo al reiniciar, por lo que podrias probar de nuevo lo del FIXMBR que ya sabes hacer, y luego pasar el ELISTARA a ver si ya no encuentra el MBR mal, y nos comentas el resultado.
En cualquier caso, tras recibirlo, lo analizaremos e informaremos del resultado
saludos
ms, 18-2-2012
NOTA: Además, vemos que se carga en cada reinicio gracias a esta clave:
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Batxi\Configuración local\Datos de programa\Akamai\netsession_win.exe"
la cual ya no podrá hacerlo tras añadir .VIR a la extension de dicho fichero. ms.
[quote]
Información Adicional:
----------------------
Error de Escritura en el MBR.[/quote]
vemos algo raro:
C:\DOCUMENTS AND SETTINGS\BATXI\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\AKAMAI\NETSESSION_WIN.EXE
no conocemos este fichero, si no lo conoces y no es voluntario, añadele .VIR a su extension y envianoslo para analizar.
Para ello recordar
Tras hacer lo indicado, ya no se cargará de nuevo al reiniciar, por lo que podrias probar de nuevo lo del FIXMBR que ya sabes hacer, y luego pasar el ELISTARA a ver si ya no encuentra el MBR mal, y nos comentas el resultado.
En cualquier caso, tras recibirlo, lo analizaremos e informaremos del resultado
saludos
ms, 18-2-2012
NOTA: Además, vemos que se carga en cada reinicio gracias a esta clave:
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Batxi\Configuración local\Datos de programa\Akamai\netsession_win.exe"
la cual ya no podrá hacerlo tras añadir .VIR a la extension de dicho fichero. ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Empece con un FAKETOOL y ahora un Waledac
Que cosa más curiosa, no encuentro la ruta que indicas en C:, incluso he probado a buscar el archivo desde Inicio > Buscar y no lo encuentra...
¿Alguna idea?
Gracias
¿Alguna idea?
Gracias
Re: Empece con un FAKETOOL y ahora un Waledac
Lo que he hecho es ir a Panel de Control y desistalar el programa AKAMAI (ni idea de que era). He reiniciado y he psado nuevamente el Sproces y me ha salido esto:
(18-2-2012 12:10:15 GMT)
SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Equipo: CASA
Usuario: Batxi
Sesión de Usuario: Batxi
33 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\DIVX\DIVX UPDATE\DIVXUPDATE.EXE
C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE
C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\RESEARCH IN MOTION\USB DRIVERS\RIMBBLAUNCHAGENT.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE
C:\DOCUMENTS AND SETTINGS\BATXI\MIS DOCUMENTOS\PROGRAMAS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;127.0.0.1:9421; (0)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Batxi\Configuración local\Datos de programa\Akamai\netsession_win.exe"
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_es-ES;_rv:1.9.1.3)_Gecko/20090824_Firefox/3.5.3_(.NET_CLR_3.5.30729)_" -"http://cc.porsche.com/icc_euro/ui/pva/application/bpModules/interior_3D.jsp?pluginsInstalled=true&RT=1284018017146
O4 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [APSDaemon] "C:\Archivos de programa\Archivos comunes\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RIMBBLaunchAgent.exe] C:\Archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE /tsr
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000 (User 'Administrador')
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab Class) -http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1240058879968
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) -http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_21) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
Información Adicional:
----------------------
Error de Escritura en el MBR.
WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.
WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation
WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.
WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation
WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link
WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS
**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Smartphone BlackBerry (RimUsb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys (file missing)
O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS
O23 - Service: 913D Camera (SQTECH913D) - Service & Quality Technology. - C:\WINDOWS\SYSTEM32\Drivers\Capt913D.sys
O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys
Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys
O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)
24 Servicios.
5 de Carga Automatica.
15 de Carga Manual.
4 Deshabilitados.
Parece que no lo ejecuta en el arranque, pero lo cita de alguna cadena posteriormente.
Además sigue apareciendo el error MBR.
Voy a probar ahora a ejecutar el FIXMBR, pasar el Elistara y ver resultados...
Saludos
(18-2-2012 12:10:15 GMT)
SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Equipo: CASA
Usuario: Batxi
Sesión de Usuario: Batxi
33 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\DIVX\DIVX UPDATE\DIVXUPDATE.EXE
C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE
C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\RESEARCH IN MOTION\USB DRIVERS\RIMBBLAUNCHAGENT.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE
C:\DOCUMENTS AND SETTINGS\BATXI\MIS DOCUMENTOS\PROGRAMAS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Search Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;127.0.0.1:9421; (0)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Batxi\Configuración local\Datos de programa\Akamai\netsession_win.exe"
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_es-ES;_rv:1.9.1.3)_Gecko/20090824_Firefox/3.5.3_(.NET_CLR_3.5.30729)_" -"
O4 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [APSDaemon] "C:\Archivos de programa\Archivos comunes\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RIMBBLaunchAgent.exe] C:\Archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE /tsr
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000 (User 'Administrador')
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab Class) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_21) -
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
Información Adicional:
----------------------
Error de Escritura en el MBR.
WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.
WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation
WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.
WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation
WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link
WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS
**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Smartphone BlackBerry (RimUsb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys (file missing)
O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS
O23 - Service: 913D Camera (SQTECH913D) - Service & Quality Technology. - C:\WINDOWS\SYSTEM32\Drivers\Capt913D.sys
O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys
Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys
O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)
24 Servicios.
5 de Carga Automatica.
15 de Carga Manual.
4 Deshabilitados.
Parece que no lo ejecuta en el arranque, pero lo cita de alguna cadena posteriormente.
Además sigue apareciendo el error MBR.
Voy a probar ahora a ejecutar el FIXMBR, pasar el Elistara y ver resultados...
Saludos
Re: Empece con un FAKETOOL y ahora un Waledac
No hay manera... he vuelto a hacer todo y sigue apareciendo el error MBR. Copio último Infosat:
(18-2-2012 08:33:35 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:33:43 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:41:42 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11580
Nº Total de Ficheros: 283573
Nº de Ficheros Analizados: 23051
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(18-2-2012 10:16:24 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 10:16:32 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 10:24:44 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11582
Nº Total de Ficheros: 283581
Nº de Ficheros Analizados: 23055
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(18-2-2012 12:24:09 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 12:24:17 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 12:32:15 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11645
Nº Total de Ficheros: 283460
Nº de Ficheros Analizados: 23031
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Saludos
(18-2-2012 08:33:35 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:33:43 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 08:41:42 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11580
Nº Total de Ficheros: 283573
Nº de Ficheros Analizados: 23051
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(18-2-2012 10:16:24 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 10:16:32 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 10:24:44 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11582
Nº Total de Ficheros: 283581
Nº de Ficheros Analizados: 23055
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(18-2-2012 12:24:09 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Batxi
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 12:24:17 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Error de Escritura en el MBR.
(18-2-2012 12:32:15 (GMT))
EliStartPage v24.91 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2012)
--------------------------------------------------
Usuario: Administrador
ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 11645
Nº Total de Ficheros: 283460
Nº de Ficheros Analizados: 23031
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
Pues muy desinstalado no está..., ya que persiste la clave:
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Batxi\Configuración local\Datos de programa\Akamai\netsession_win.exe"
Lo malo es que si has eliminado dicho fichero en lugar de añadir .VIR a su extension y no nos lo has enviado, no podremos analizarlo ni ver lo que era, pero vamos que si tras desinstalarlo y volver a lanzar el FIXMBR , sigue lo del "Error de Escritura en el MBR, señal de que no era la causa... ???
Pero ya puestos, por si las moscas, eliminemos la clave de carga de este netsession_win.exe , ya que dices no conocerlo y haberlo "desinstalado".
Para ello lanza el SPROCES, pulsa SCAN, marca la clave indicada y escoje ELIMINAR
Y mira si asi resiste a lo del FIXMBR, y en tal caso, pensando en un ROOTKIT, lanza el McAfee Rootkit Detective y nos posteas el informe resultante:
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip
A ver si al final indica que hay una aplicacion corriendo en proceso oculto, e iremos a por ella.
saludos
ms, 18-2-2012
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Batxi\Configuración local\Datos de programa\Akamai\netsession_win.exe"
Lo malo es que si has eliminado dicho fichero en lugar de añadir .VIR a su extension y no nos lo has enviado, no podremos analizarlo ni ver lo que era, pero vamos que si tras desinstalarlo y volver a lanzar el FIXMBR , sigue lo del "Error de Escritura en el MBR, señal de que no era la causa... ???
Pero ya puestos, por si las moscas, eliminemos la clave de carga de este netsession_win.exe , ya que dices no conocerlo y haberlo "desinstalado".
Para ello lanza el SPROCES, pulsa SCAN, marca la clave indicada y escoje ELIMINAR
Y mira si asi resiste a lo del FIXMBR, y en tal caso, pensando en un ROOTKIT, lanza el McAfee Rootkit Detective y nos posteas el informe resultante:
A ver si al final indica que hay una aplicacion corriendo en proceso oculto, e iremos a por ella.
saludos
ms, 18-2-2012
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Empece con un FAKETOOL y ahora un Waledac
He eliminado la clave y he vuelto a probar el FIXMBR y le he pasado el Sproces, donde sigue apareciendo el error MBR.
(18-2-2012 13:26:24 GMT)
SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Equipo: CASA
Usuario: Batxi
Sesión de Usuario: Batxi
32 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\DIVX\DIVX UPDATE\DIVXUPDATE.EXE
C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE
C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\RESEARCH IN MOTION\USB DRIVERS\RIMBBLAUNCHAGENT.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE
C:\DOCUMENTS AND SETTINGS\BATXI\MIS DOCUMENTOS\PROGRAMAS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;127.0.0.1:9421; (0)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_es-ES;_rv:1.9.1.3)_Gecko/20090824_Firefox/3.5.3_(.NET_CLR_3.5.30729)_" -"http://cc.porsche.com/icc_euro/ui/pva/application/bpModules/interior_3D.jsp?pluginsInstalled=true&RT=1284018017146
O4 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [APSDaemon] "C:\Archivos de programa\Archivos comunes\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RIMBBLaunchAgent.exe] C:\Archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE /tsr
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000 (User 'Administrador')
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab Class) -http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1240058879968
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) -http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_21) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
Información Adicional:
----------------------
Error de Escritura en el MBR.
WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.
WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation
WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.
WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation
WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link
WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS
**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Smartphone BlackBerry (RimUsb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys (file missing)
O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS
O23 - Service: 913D Camera (SQTECH913D) - Service & Quality Technology. - C:\WINDOWS\SYSTEM32\Drivers\Capt913D.sys
O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys
Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys
O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)
24 Servicios.
5 de Carga Automatica.
15 de Carga Manual.
4 Deshabilitados.
Voy a probar lo del McAfee Rootkit Detective y pegaré informe...
Saludos
(18-2-2012 13:26:24 GMT)
SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Equipo: CASA
Usuario: Batxi
Sesión de Usuario: Batxi
32 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\DIVX\DIVX UPDATE\DIVXUPDATE.EXE
C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE
C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\RESEARCH IN MOTION\USB DRIVERS\RIMBBLAUNCHAGENT.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE
C:\DOCUMENTS AND SETTINGS\BATXI\MIS DOCUMENTOS\PROGRAMAS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')
R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Search Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;127.0.0.1:9421; (0)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_es-ES;_rv:1.9.1.3)_Gecko/20090824_Firefox/3.5.3_(.NET_CLR_3.5.30729)_" -"
O4 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [APSDaemon] "C:\Archivos de programa\Archivos comunes\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RIMBBLaunchAgent.exe] C:\Archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE /tsr
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000 (User 'Administrador')
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab Class) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_21) -
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) -
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
Información Adicional:
----------------------
Error de Escritura en el MBR.
WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.
WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation
WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.
WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation
WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link
WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS
**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Smartphone BlackBerry (RimUsb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys (file missing)
O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS
O23 - Service: 913D Camera (SQTECH913D) - Service & Quality Technology. - C:\WINDOWS\SYSTEM32\Drivers\Capt913D.sys
O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys
Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys
**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys
O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)
24 Servicios.
5 de Carga Automatica.
15 de Carga Manual.
4 Deshabilitados.
Voy a probar lo del McAfee Rootkit Detective y pegaré informe...
Saludos
Re: Empece con un FAKETOOL y ahora un Waledac
Los resultados del McAfee Rootkit Detective:
McAfee(R) Rootkit Detective 1.1 scan report
On 18-02-2012 at 14:31:02
OS-Version 5.1.2600
Service Pack 3.0
====================================
Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwCreatePagingFile
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwSetSystemPowerState
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: Registry-key
Object-Name: jdgg40DOWS\system32\drivers\a347bus.sys
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40
Status: Unable to access registry key
Object-Type: Registry-key
Object-Name: jdgg41\ControlSet002\Services\a347scsi\Config\jdgg40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Unable to access registry key
Object-Type: Registry-value
Object-Name: ujdew
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej42
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej43
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej44
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-key
Object-Name: jdgg42\ControlSet002\Services\a347scsi\Config\jdgg41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Unable to access registry key
Object-Type: Registry-value
Object-Name: ujdew
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej42
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej43
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej44
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-key
Object-Name: jdgg40\ControlSet002\Services\a347scsi\Config\jdgg42
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40
Status: Unable to access registry key
Object-Type: Registry-key
Object-Name: jdgg41\ControlSet002\Services\a347scsi\Config\jdgg40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Unable to access registry key
Object-Type: Registry-value
Object-Name: ujdew
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej42
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej43
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej44
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-key
Object-Name: jdgg42\ControlSet002\Services\a347scsi\Config\jdgg41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Unable to access registry key
Object-Type: Registry-value
Object-Name: ujdew
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej42
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej43
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej44
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ProductName
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6
Status: Registy value-data mismatch
Object-Type: Registry-value
Object-Name: DisplayName
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}
Status: Registy value-data mismatch
Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 3316
Object-Path: C:\Documents and Settings\Batxi\Mis documentos\Programas\Rootkit_Detective.exe
Status: Visible
Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 808
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: RIMBBLaunchAgen
Pid: 1460
Object-Path: C:\Archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
Status: Visible
Object-Type: Process
Object-Name: AppleMobileDevi
Pid: 1832
Object-Path: C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
Status: Visible
Object-Type: Process
Object-Name: nvsvc32.exe
Pid: 1956
Object-Path: C:\WINDOWS\system32\nvsvc32.exe
Status: Visible
Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: ctfmon.exe
Pid: 1524
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 2020
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: csrss.exe
Pid: 408
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible
Object-Type: Process
Object-Name: jqs.exe
Pid: 1928
Object-Path: C:\Archivos de programa\Java\jre6\bin\jqs.exe
Status: Visible
Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1060
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible
Object-Type: Process
Object-Name: GrooveMonitor.e
Pid: 1372
Object-Path: C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 692
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: services.exe
Pid: 476
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible
Object-Type: Process
Object-Name: soundman.exe
Pid: 1316
Object-Path: C:\WINDOWS\SOUNDMAN.EXE
Status: Visible
Object-Type: Process
Object-Name: rundll32.exe
Pid: 1348
Object-Path: C:\WINDOWS\system32\RUNDLL32.EXE
Status: Visible
Object-Type: Process
Object-Name: smss.exe
Pid: 356
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 728
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: DivXUpdate.exe
Pid: 1380
Object-Path: C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 636
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: iPodService.exe
Pid: 916
Object-Path: C:\Archivos de programa\iPod\bin\iPodService.exe
Status: Visible
Object-Type: Process
Object-Name: iTunesHelper.ex
Pid: 1444
Object-Path: C:\Archivos de programa\iTunes\iTunesHelper.exe
Status: Visible
Object-Type: Process
Object-Name: mDNSResponder.e
Pid: 1848
Object-Path: C:\Archivos de programa\Bonjour\mDNSResponder.exe
Status: Visible
Object-Type: Process
Object-Name: lsass.exe
Pid: 488
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 772
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: explorer.exe
Pid: 1176
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1796
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: alg.exe
Pid: 2168
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible
Object-Type: Process
Object-Name: winlogon.exe
Pid: 432
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible
Scan complete. Hidden registry keys/values: 32
Saludos
McAfee(R) Rootkit Detective 1.1 scan report
On 18-02-2012 at 14:31:02
OS-Version 5.1.2600
Service Pack 3.0
====================================
Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwCreatePagingFile
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwSetSystemPowerState
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: Registry-key
Object-Name: jdgg40DOWS\system32\drivers\a347bus.sys
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40
Status: Unable to access registry key
Object-Type: Registry-key
Object-Name: jdgg41\ControlSet002\Services\a347scsi\Config\jdgg40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Unable to access registry key
Object-Type: Registry-value
Object-Name: ujdew
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej42
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej43
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej44
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-key
Object-Name: jdgg42\ControlSet002\Services\a347scsi\Config\jdgg41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Unable to access registry key
Object-Type: Registry-value
Object-Name: ujdew
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej42
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej43
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej44
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-key
Object-Name: jdgg40\ControlSet002\Services\a347scsi\Config\jdgg42
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40
Status: Unable to access registry key
Object-Type: Registry-key
Object-Name: jdgg41\ControlSet002\Services\a347scsi\Config\jdgg40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Unable to access registry key
Object-Type: Registry-value
Object-Name: ujdew
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej42
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej43
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej44
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41
Status: Hidden
Object-Type: Registry-key
Object-Name: jdgg42\ControlSet002\Services\a347scsi\Config\jdgg41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Unable to access registry key
Object-Type: Registry-value
Object-Name: ujdew
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej41
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej42
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej43
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ljej44
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg42
Status: Hidden
Object-Type: Registry-value
Object-Name: ProductName
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6
Status: Registy value-data mismatch
Object-Type: Registry-value
Object-Name: DisplayName
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}
Status: Registy value-data mismatch
Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 3316
Object-Path: C:\Documents and Settings\Batxi\Mis documentos\Programas\Rootkit_Detective.exe
Status: Visible
Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 808
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: RIMBBLaunchAgen
Pid: 1460
Object-Path: C:\Archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
Status: Visible
Object-Type: Process
Object-Name: AppleMobileDevi
Pid: 1832
Object-Path: C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
Status: Visible
Object-Type: Process
Object-Name: nvsvc32.exe
Pid: 1956
Object-Path: C:\WINDOWS\system32\nvsvc32.exe
Status: Visible
Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: ctfmon.exe
Pid: 1524
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 2020
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: csrss.exe
Pid: 408
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible
Object-Type: Process
Object-Name: jqs.exe
Pid: 1928
Object-Path: C:\Archivos de programa\Java\jre6\bin\jqs.exe
Status: Visible
Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1060
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible
Object-Type: Process
Object-Name: GrooveMonitor.e
Pid: 1372
Object-Path: C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 692
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: services.exe
Pid: 476
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible
Object-Type: Process
Object-Name: soundman.exe
Pid: 1316
Object-Path: C:\WINDOWS\SOUNDMAN.EXE
Status: Visible
Object-Type: Process
Object-Name: rundll32.exe
Pid: 1348
Object-Path: C:\WINDOWS\system32\RUNDLL32.EXE
Status: Visible
Object-Type: Process
Object-Name: smss.exe
Pid: 356
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 728
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: DivXUpdate.exe
Pid: 1380
Object-Path: C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 636
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: iPodService.exe
Pid: 916
Object-Path: C:\Archivos de programa\iPod\bin\iPodService.exe
Status: Visible
Object-Type: Process
Object-Name: iTunesHelper.ex
Pid: 1444
Object-Path: C:\Archivos de programa\iTunes\iTunesHelper.exe
Status: Visible
Object-Type: Process
Object-Name: mDNSResponder.e
Pid: 1848
Object-Path: C:\Archivos de programa\Bonjour\mDNSResponder.exe
Status: Visible
Object-Type: Process
Object-Name: lsass.exe
Pid: 488
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 772
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: explorer.exe
Pid: 1176
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1796
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: alg.exe
Pid: 2168
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible
Object-Type: Process
Object-Name: winlogon.exe
Pid: 432
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible
Scan complete. Hidden registry keys/values: 32
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
Pues en este fichero podría haber gato encerrado:
C:\WINDOWS\system32\drivers\a347bus.sys
envianoslo para analizar
Para ello recordar[/b] :
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 18-2-2012
C:\WINDOWS\system32\drivers\a347bus.sys
envianoslo para analizar
Para ello recordar
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 18-2-2012
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Empece con un FAKETOOL y ahora un Waledac
Archivo enviado.
En el mismo directorio hay alguno parecido, como por ejemplo a347scsi, 1394bus...
Gracias y saludos
En el mismo directorio hay alguno parecido, como por ejemplo a347scsi, 1394bus...
Gracias y saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
No sé lo que es, lo veremos mañana cuando volvamos al trabajo en SATINFO.
Y tras analizarlo, informaremos.
Mientras descarga y prueba esta utilidad de AVAST, que es para el MBR, a ver que detecta:
http://public.avast.com/~gmerek/aswMBR.htm
saludos
ms, 19-2-2012
Y tras analizarlo, informaremos.
Mientras descarga y prueba esta utilidad de AVAST, que es para el MBR, a ver que detecta:
saludos
ms, 19-2-2012
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Empece con un FAKETOOL y ahora un Waledac
Los resultados del Avast:
aswMBR version 0.9.9.1618 Copyright(c) 2011 AVAST Software
Run date: 2012-02-19 09:38:49
-----------------------------
09:38:49.687 OS Version: Windows 5.1.2600 Service Pack 3
09:38:49.687 Number of processors: 1 586 0x2F02
09:38:49.687 ComputerName: CASA UserName:
09:38:50.640 Initialize success
09:39:07.203 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
09:39:07.203 Disk 0 Vendor: ST3200826AS 3.03 Size: 190782MB BusType: 3
09:39:07.203 Device \Driver\atapi -> DriverStartIo f7477864
09:39:07.203 Device \Driver\atapi -> MajorFunction 864684c8
09:39:07.218 Disk 0 MBR read successfully
09:39:07.218 Disk 0 MBR scan
09:39:07.218 Disk 0 Windows XP default MBR code
09:39:07.218 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 190771 MB offset 63
09:39:07.218 Disk 0 scanning sectors +390721952
09:39:08.468 Disk 0 scanning C:\WINDOWS\system32\drivers
09:39:14.593 Service scanning
09:39:15.875 Service atapi C:\WINDOWS\system32\DRIVERS\atapi.sys **LOCKED** 32
09:39:25.609 Modules scanning
09:39:32.250 Disk 0 trace - called modules:
09:39:32.765 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x864684c8]<<
09:39:32.765 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8713b9c0]
09:39:32.765 3 CLASSPNP.SYS[f7670fd7] -> nt!IofCallDriver -> \Device\0000005a[0x871159e8]
09:39:32.765 5 ACPI.sys[f74be620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x87115b00]
09:39:32.781 \Driver\atapi[0x8711ae18] -> IRP_MJ_CREATE -> 0x864684c8
09:39:32.781 Scan finished successfully
09:40:02.734 Disk 0 MBR has been saved successfully to "C:\Muestras\MBR.dat"
09:40:02.734 The log file has been saved successfully to "C:\Muestras\aswMBR.txt"
Saludos
aswMBR version 0.9.9.1618 Copyright(c) 2011 AVAST Software
Run date: 2012-02-19 09:38:49
-----------------------------
09:38:49.687 OS Version: Windows 5.1.2600 Service Pack 3
09:38:49.687 Number of processors: 1 586 0x2F02
09:38:49.687 ComputerName: CASA UserName:
09:38:50.640 Initialize success
09:39:07.203 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
09:39:07.203 Disk 0 Vendor: ST3200826AS 3.03 Size: 190782MB BusType: 3
09:39:07.203 Device \Driver\atapi -> DriverStartIo f7477864
09:39:07.203 Device \Driver\atapi -> MajorFunction 864684c8
09:39:07.218 Disk 0 MBR read successfully
09:39:07.218 Disk 0 MBR scan
09:39:07.218 Disk 0 Windows XP default MBR code
09:39:07.218 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 190771 MB offset 63
09:39:07.218 Disk 0 scanning sectors +390721952
09:39:08.468 Disk 0 scanning C:\WINDOWS\system32\drivers
09:39:14.593 Service scanning
09:39:15.875 Service atapi C:\WINDOWS\system32\DRIVERS\atapi.sys **LOCKED** 32
09:39:25.609 Modules scanning
09:39:32.250 Disk 0 trace - called modules:
09:39:32.765 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x864684c8]<<
09:39:32.765 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8713b9c0]
09:39:32.765 3 CLASSPNP.SYS[f7670fd7] -> nt!IofCallDriver -> \Device\0000005a[0x871159e8]
09:39:32.765 5 ACPI.sys[f74be620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x87115b00]
09:39:32.781 \Driver\atapi[0x8711ae18] -> IRP_MJ_CREATE -> 0x864684c8
09:39:32.781 Scan finished successfully
09:40:02.734 Disk 0 MBR has been saved successfully to "C:\Muestras\MBR.dat"
09:40:02.734 The log file has been saved successfully to "C:\Muestras\aswMBR.txt"
Saludos
Re: Empece con un FAKETOOL y ahora un Waledac
Algo raro si que debe haber en el ordenador. Me estoy dando cuenta que hay veces, no todas, que con el Explorer desde Google, cuando hago una busqueda y pincho en la que me interesa, se redirecciona a una página que dice "Search Mirror".
Desde el Mozilla no me pasa.
Cosas raras y curiosas...
Saludos,
Desde el Mozilla no me pasa.
Cosas raras y curiosas...
Saludos,
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Empece con un FAKETOOL y ahora un Waledac
Propias de la cache del Google y del Internet Explorer...
Envianos este fichero que ha salvado en C:\muestras dicha utilidad:
[b][i]"C:\Muestras\MBR.dat"[/i] [/b]
Analizaremos tambien este MBR.DAT a ver si hay alguna rutina sospechosa, y tras ello informaremos.
saludos
ms, 19-2-2012
Envianos este fichero que ha salvado en C:\muestras dicha utilidad:
Analizaremos tambien este MBR.DAT a ver si hay alguna rutina sospechosa, y tras ello informaremos.
saludos
ms, 19-2-2012
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online