ZeroAccess resistente a EliSirefef v2.09

[GRN]

Buenas noches.



Tras instalar una utilidad que no debía, :oops: observo que, al arrancar Wxp (SP3), los iconos del escritorio se me reordenan todos a la izquierda del mismo.





[b]Como tengo un VirusScan 8.0.7i con motor: 5400:1158 y DAT: 6894.0000 hago un análisis completo y obtengo:[/b]



11/11/2012 10:54:17 Versión del motor = 5400.1158

11/11/2012 10:54:17 Versión DAT del antivirus = 6892.0

11/11/2012 10:54:17 Número de definiciones de detección en EXTRA.DAT = Ninguno

11/11/2012 10:54:17 Nombres de definiciones de detección en EXTRA.DAT = Ninguno

11/11/2012 10:53:56 Análisis iniciado P4\IGNACIO Exploración completa

11/11/2012 11:33:11 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Configuración local\Datos de programa\6d6b8488\@ ZeroAccess!cfg (Troyano)

11/11/2012 11:33:14 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Configuración local\Datos de programa\6d6b8488\U\00000001.@ W32/Sirefef.f (Troyano)

11/11/2012 11:33:40 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Configuración local\Datos de programa\6d6b8488\U\000000c0.@ Generic.jz (Troyano)

11/11/2012 11:33:51 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Configuración local\Datos de programa\6d6b8488\U\000000cb.@ Generic.jz (Troyano)

11/11/2012 11:34:02 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Configuración local\Datos de programa\6d6b8488\U\000000cf.@ Downloader.a!bc3 (Troyano)

11/11/2012 11:34:05 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Configuración local\Datos de programa\6d6b8488\U\80000000.@ ZeroAccess (Troyano)

11/11/2012 11:34:07 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Configuración local\Datos de programa\6d6b8488\U\800000c0.@ ZeroAccess (Troyano)

11/11/2012 11:34:18 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Configuración local\Datos de programa\6d6b8488\U\800000cb.@ ZeroAccess.as (Troyano)

11/11/2012 11:34:28 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Configuración local\Datos de programa\6d6b8488\U\800000cf.@ ZeroAccess.ba (Troyano)

11/11/2012 12:28:46 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Mis documentos\DTUP\Drivers y Periféricos\Navegadores\ARGOS\4 Easyusetools_for Keygen_Mapcheck_Metacheck_ttsystempatcher.zip\tt8_keygen.exe Generic.dx!bcq4 (Troyano)

11/11/2012 13:33:38 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\WINDOWS\assembly\GAC_MSIL\Desktop.ini Generic BackDoor!1es (Troyano)

Perry_Anne.epub

11/11/2012 16:03:18 Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) HKU\S-1-5-21-602162358-1336601894-1417001333-1004\Software\Freeware Dialer-182 (Programas potencialmente no deseados)





[b]Sin embargo, al reiniciar el ordenador, el problema persiste, por lo que, dados los buenos resultados obtenidos anteriormente, descargo y ejecuto, en modo seguro, ELISTARA con los siguientes resultados:[/b]



(11-11-2012 19:41:32 (GMT))

EliStartPage v26.51 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: IGNACIO

ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1004



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2012 19:42:17 (GMT))

EliStartPage v26.51 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Laura

ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1006



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2012 19:42:30 (GMT))

EliStartPage v26.51 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Lander

ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1007



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2012 19:42:40 (GMT))

EliStartPage v26.51 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Invitado

ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-501



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2012 21:18:27 (GMT))

EliStartPage v26.51 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Invitado

ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-501



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\PDFCreator\Toolbar\PDFFORGE TOOLBAR-4_1_0_SETUP.EXE --> Eliminado, Keylogger.Gratis(inst)

C:\Documents and Settings\IGNACIO\Mis documentos\DTUP\Herramientas\H Media\H Sonido\Editores Audio\Audacity 2.0 WIN\LAME_V3.99.3_FOR_WINDOWS.EXE --> Eliminado, Keylogger.Gratis(inst)



Nº Total de Directorios: 32253

Nº Total de Ficheros: 281565

Nº de Ficheros Analizados: 67834

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2





[b]Al reiniciar el ordenador, de nuevo el problema persiste, por lo que, tras encontrar y leer la noticia:

[i]NUEVA VARIANTE DE ZEROACCESS QUE ES UNA DERIVACION DEL SIREFEF (SIREFEF-D) de viernes, 29 de junio de 2012[/i], descargo y ejecuto, en modo seguro, ELISIREF con los siguientes resultados:[/b]:



(12-11-2012 21:12:41 (GMT))

EliSirefef v2.09 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 7 de Noviembre del 2012)

----------------------------------------

Sistema Operativo: MICROSOFT WINDOWS XP

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 32191

Nº Total de Ficheros: 281140

Nº de Ficheros Analizados: 24248

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





[b]Sin embargo el problema continúa, por lo que descargo y ejecuto, SPROCES con el siguiente resultado: [/b]



(12-11-2012 22:13:14 GMT)

SProces v6.6 (c)2012 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: P4

Usuario: IGNACIO

Sesión de Usuario: IGNACIO



59 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\JUNIPER NETWORKS\COMMON FILES\DSNCSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE7\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\ENGINESERVER.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\COMMON FRAMEWORK\FRAMEWORKSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\VSTSKMGR.EXE

C:\WINDOWS\SYSTEM32\MFEVTPS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\NIKON\WIRELESS CAMERA SETUP UTILITY\NKPTPENUM.EXE

C:\ARCHIVOS DE PROGRAMA\HERRAMIENTAS\CDBURNERXP\NMSACCESSU.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\COMMON FRAMEWORK\NAPRDMGR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\USTORSRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\MCSHIELD.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\FPDISP5A.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\MFEANN.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\FPPDIS2A.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\COMMON FRAMEWORK\UDATERUI.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\SHSTAT.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\COMMON FRAMEWORK\MCTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\HERRAMIENTAS\SPYBOT\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVCM.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQBAM08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQGPC01.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\ARCHIV~1\HERRAM~1\WINZIP\WINZIP32.EXE

C:\DOCUMENTS AND SETTINGS\IGNACIO\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1006\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ (User 'Laura')

R0 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1006\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Laura')

R0 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1007\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ (User 'Lander')

R0 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1007\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Lander')

R0 - HKUS\S-1-5-21-602162358-1336601894-1417001333-501\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Invitado')

R0 - HKUS\S-1-5-21-602162358-1336601894-1417001333-501\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Invitado')

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = microweb;*.local (0)

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\HERRAM~1\Spybot\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: (no name) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - (no file)

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre7\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan Enterprise\scriptsn.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre7\bin\jp2ssv.dll

O2 - BHO: Bridge Class - {E479EDE1-923E-11D3-B82B-00E09871521B} - C:\Archivos de programa\Herramientas\Compass\CmpsIE.dll

O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file)

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Herramientas\Spybot\TeaTimer.exe

O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart

O4 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1006\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime (User 'Laura')

O4 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Laura')

O4 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1006\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background (User 'Laura')

O4 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1007\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background (User 'Lander')

O4 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1007\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime (User 'Lander')

O4 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1007\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Lander')

O4 - HKUS\S-1-5-21-602162358-1336601894-1417001333-1007\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"http://www.candystand.com/play/pro-tour-bowling?utm_source=minijuegos&utm_medium=link&utm_campaign=protourbowling" (User 'Lander')

O4 - HKUS\S-1-5-21-602162358-1336601894-1417001333-501\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Invitado')

O4 - HKUS\S-1-5-21-602162358-1336601894-1417001333-501\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime (User 'Invitado')

O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Archivos de programa\Intel Audio Studio\IntelAudioStudio.exe" BOOT

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\udaterui.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [APSDaemon] "C:\Archivos de programa\Archivos comunes\Apple\Apple Application Support\APSDaemon.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [NSU_agent] "C:\Archivos de programa\Nokia\Nokia Software Updater\nsu3ui_agent.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE -b -l

O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\HERRAM~1\Spybot\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://correo.telefonica.es/iNotes.cab

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {2DAB6EF1-66C3-427C-87CD-8DC448C47EAE} (CtlTGVI Class) - https://www5.aeat.es/es13/h/tgvicab.cab

O16 - DPF: {2EDF75C0-5ABD-49f9-BAB6-220476A32034} (System Requirements Lab Class) - http://intel-drv-cdn.systemrequirementslab.com/multi/bin/sysreqlab_srlx.cab

O16 - DPF: {43E3F87D-DE7F-4087-BD4F-0DC854981158} (CTAdjust Class) - http://download.microsoft.com/download/7/3/8/7384c441-3721-41ee-ae15-b678888f00dd/clearadj.CAB

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://landermp.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 10.9.2) - http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {947B00D2-962D-4A35-9E48-98EE6A442B41} (OAdedinet Class) - https://www1.agenciatributaria.gob.es/ADUA/internet/aded1503.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www1.agenciatributaria.gob.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

O16 - DPF: {CAFEEFAC-0017-0000-0004-ABCDEFFEDCBA} - http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab

O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} - http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 10.9.2) - http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DE22A7AB-A739-4C58-AD52-21F9CD6306B7} (CTAdjust Class) - http://download.microsoft.com/download/7/E/6/7E6A8567-DFE4-4624-87C3-163549BE2704/clearadj.cab

O16 - DPF: {DE833CC3-52E7-4C9A-BDC4-8EC24B422A2B} (Superscape VisLite) - http://www.fundacion.telefonica.com/media/que_hacemos/03_arsvirtual/granja_ac/granja_ac/vislite/vislite.cab

O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://correo.telefonica.es/dwa7W.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by120fd.bay120.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{D5B1D59E-29CB-4729-95FC-EEE57E932676}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Archivos de programa\Juniper Networks\Common Files\dsNcService.exe

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: Servicio Google Update (gupdate1ca22547b79c7ba) (gupdate1ca22547b79c7ba) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio HP CUE DeviceDiscovery (hpqddsvc) - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Archivos de programa\HP\Digital Imaging\bin\hpqddsvc.dll

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre7\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre7\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys

*O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\EngineServer.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - McAfee, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe

O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZinw12.dll

O23 - Service: NkPtpEnumP2 - Unknown owner - C:\Archivos de programa\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe" -a -d="C:\Archivos de programa\Nikon\Wireless Camera Setup Utility\NkPtpip.dll (file missing)

O23 - Service: NMSAccessU - Unknown owner - C:\Archivos de programa\Herramientas\CDBurnerXP\NMSAccessU.exe

O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZipm12.dll

O23 - Service: SIODRV - Intel Corporation - C:\WINDOWS\system32\drivers\SIODRV.SYS

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: AnyDVD - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\AnyDVD.sys

**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: ATI Function Driver for High Definition Audio Service (AtiHdmiService) - ATI Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\AtiHdmi.sys

O23 - Service: Bluetooth Audio Service (BlueletAudio) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys (file missing)

O23 - Service: Bluetooth SCO Audio Service (BlueletSCOAudio) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\BlueletSCOAudio.sys (file missing)

O23 - Service: Bluetooth PAN Network Adapter (BT) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys (file missing)

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys (file missing)

O23 - Service: camfilt2 - Guillemot Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\camfilt2.sys

O23 - Service: SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.) (dg_ssudbus) - DEVGURU Co., LTD.(http://www.devguru.co.kr) - C:\WINDOWS\SYSTEM32\DRIVERS\ssudbus.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Juniper Network Connect Adapter (dsNcAdpt) - Juniper Networks - C:\WINDOWS\SYSTEM32\DRIVERS\dsNcAdpt.sys

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys

O23 - Service: ElbyDelay - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: EntDrv51 - Unknown owner - C:\WINDOWS\system32\drivers\EntDrv51.sys (file missing)

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: USB Scroll Mouse Driver (genmcmnUSB) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\gflmouhid.sys (file missing)

O23 - Service: getPlus(R) Helper (getPlusHelper) - NOS Microsystems Ltd. - %SystemRoot%\System32\svchost.exe -k getPlusHelper - C:\Archivos de programa\NOS\bin\getPlus_Helper.dll

O23 - Service: giveio - Unknown owner - C:\WINDOWS\system32\giveio.sys

O23 - Service: GMSIPCI - Unknown owner - E:\INSTALL\GMSIPCI.SYS (file missing)

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: hpqcxs08 - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Archivos de programa\HP\Digital Imaging\bin\hpqcxs08.dll

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: McAfee Inc. mfeapfk (mfeapfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeapfk.sys

O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. mfebopk (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. mferkdet (mferkdet) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdet.sys

O23 - Service: Motorola USB CDC ACM Driver (motmodem) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\motmodem.sys (file missing)

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Archivos de programa\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: NaiAvFilter1 - Network Associates, Inc. - C:\WINDOWS\SYSTEM32\drivers\naiavf5x.sys

O23 - Service: Nokia USB Phone Parent Driver (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Communication Driver (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys

O23 - Service: NetGroup Packet Filter Driver (NPF) - CACE Technologies - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Sonic Focus Plugin for Sigmatel HDA (sfng32) - Sonic Focus, Inc - C:\WINDOWS\SYSTEM32\drivers\sfng32.sys

O23 - Service: Intel (R) System Management BIOS Service (SMBios) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\SMBios.sys (file missing)

O23 - Service: Intel(R) SMBus 2.0 Driver (smbusp) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\intelsmb.sys

O23 - Service: Hercules Deluxe Optical Glass (SNPSTD3) - Sonix Co. Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\snpstd3.sys

O23 - Service: SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.) (ssudmdm) - DEVGURU Co., LTD.(http://www.devguru.co.kr) - C:\WINDOWS\SYSTEM32\DRIVERS\ssudmdm.sys

O23 - Service: High Definition Audio Driver (WDM) - SigmaTel CODEC (STHDA) - SigmaTel, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: Motorola USB Modem Driver for MPT (usbsermpt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usbsermpt.sys (file missing)

O23 - Service: Virtual Bus (VBus) - Nikon Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NkVBus.sys

O23 - Service: Virtual Serial port driver (VComm) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys (file missing)

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys (file missing)

O23 - Service: WinDriver Kernel Module (WinDriver) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\windrvr.sys (file missing)

O23 - Service: Logitech Virtual Bus Enumerator Driver (WmBEnum) - Logitech Inc. - C:\WINDOWS\SYSTEM32\drivers\WmBEnum.sys

O23 - Service: Logitech WingMan HID Filter Driver (WmFilter) - Logitech Inc. - C:\WINDOWS\SYSTEM32\drivers\WmFilter.sys

O23 - Service: Logitech Virtual Hid Device Driver (WmVirHid) - Logitech Inc. - C:\WINDOWS\SYSTEM32\drivers\WmVirHid.sys

O23 - Service: Logitech WingMan Translation Layer Driver (WmXlCore) - Logitech Inc. - C:\WINDOWS\SYSTEM32\drivers\WmXlCore.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



90 Servicios.

23 de Carga Automatica.

64 de Carga Manual.

3 Deshabilitados.





Os agradecería que me ayudarais a resolver el lio en que me he metido por mi mala cabeza. :oops: :cry:

[msc hotline sat]

Pues parece que con esta version del SIREFEF, se usa una ruta aleatoria, que en este caso es en la carpeta 6d6b8488, que suponemos es diferente para cada ordenador o para cada instalacion..., dentro de la ruta típica que ya conocemos, pero no dentro de dicha carpeta, claro:



Eliminado(s) IGNACIO ODS(IDS_ODS_TASKNAME_FULL_SCAN) c:\Documents and Settings\IGNACIO\Configuración local\Datos de programa\6d6b8488\@ ZeroAccess!cfg (Troyano)



Pues a partir del ELISIREF 2.10 de hoy vamos a ver si encontramos restos del SIREFEF en ellas, y si es el caso, informaremos y procederemos a eliminarlo



Esperemos que con ello se solucione.



Tras probar la nueva version, posteenos el infosat.txt y tras reiniciar diganos si se ha solucionado el problema, gracias.



saludos



ms, 13-11-2012

[GRN]

Gracias por vuestra atención.



Dispongo de los ficheros .bup que generó y puso en cuarentena el VirusScan.



¿Os serían de utilidad?

[msc hotline sat]

No, gracias. El instalador ya ha hecho su faena y se fue..., dejando los instalados, los cuales no instalan nuevas infecciones, para que asi no se puedan monitorizar !



Estamos cambiando las rutinas de deteccion de dicho troyano haciendo mas exhaustivo, a ver si asi lo pìllamos.



A partir de las 19 h CEST bajate las nuevas versiones y pruebas (especialmente el ELISIREF)



y comentanos el resultado, gracias



saludos



ms, 13-11-2012

[GRN]

Buenas tardes.



Lamento comunicaros que la nueva versión no ha realizado nuevas detecciones (aunque parece que ha buscado/encontrado más directorios/ficheros) y los iconos se me siguen reordenando solos.



Al respecto me gustaría haceros la siguiente pregunta:



Tras el borrado de ficheros que me hicieron VirusScan y ELISTARA según os indique anteriormente, ¿puedo considerar que el virus fue eliminado permaneciendo tan solo el desagradable efecto de los iconos o por el contrario solo se eliminó el instalador y el virus permanece?





Adjunto el log generado por ELISIREF 2.10:



(11-11-2012 19:41:32 (GMT))

EliStartPage v26.51 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: IGNACIO

ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1004



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2012 19:42:17 (GMT))

EliStartPage v26.51 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Laura

ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1006



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2012 19:42:30 (GMT))

EliStartPage v26.51 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Lander

ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1007



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2012 19:42:40 (GMT))

EliStartPage v26.51 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Invitado

ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-501



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2012 21:18:27 (GMT))

EliStartPage v26.51 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Invitado

ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-501



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\PDFCreator\Toolbar\PDFFORGE TOOLBAR-4_1_0_SETUP.EXE --> Eliminado, Keylogger.Gratis(inst)

C:\Documents and Settings\IGNACIO\Mis documentos\DTUP\Herramientas\H Media\H Sonido\Editores Audio\Audacity 2.0 WIN\LAME_V3.99.3_FOR_WINDOWS.EXE --> Eliminado, Keylogger.Gratis(inst)



Nº Total de Directorios: 32253

Nº Total de Ficheros: 281565

Nº de Ficheros Analizados: 67834

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(12-11-2012 21:12:41 (GMT))

EliSirefef v2.09 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 7 de Noviembre del 2012)

----------------------------------------

Sistema Operativo: MICROSOFT WINDOWS XP

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 32191

Nº Total de Ficheros: 281140

Nº de Ficheros Analizados: 24248

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-11-2012 08:03:11 (GMT))

EliSirefef v2.10 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2012)

----------------------------------------

Sistema Operativo: MICROSOFT WINDOWS XP

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 32560

Nº Total de Ficheros: 281559

Nº de Ficheros Analizados: 24248

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Gracias y quedo a la espera de vuestras indicaciones.

[msc hotline sat]

Sí, esto de la alineacion de iconos a la izquierda lo crea una class afectada por el SIREFEF, asi que no estas limpio, si bien se trata de alguna nueva variante que no sigue las pautas conocidas.



Vamos a atacarle por otro lado, como rootkit que es, lanza el GMER , salva el informe y nos lo posteas en tu proximom post de respuesta a este Tema



A ver si logramos desemascarar el dichoso bicho y pasamos a controlarlo segun lo que haya y haga el fichero que veamos y te pidamos para analizar.



El GMER lo pyedes descargar de:



[b]

GMER[/b]:



[url]http://www.zonavirus.com/descargas/descargar-gmer.asp[/url]



saludos



ms, 14-11-2012

[GRN]

[b]Hola. Según me habéis indicado:[/b]



GMER 1.0.15.15641

Rootkit quick scan 2012-11-14 18:47:33

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e SAMSUNG_SP2004C rev.VM100-33

Running: gmer.exe; Driver: C:\DOCUME~1\IGNACIO\CONFIG~1\Temp\pxtdapob.sys





---- System - GMER 1.0.15 ----



Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwCreateFile [0xF72C3238]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwCreateKey [0xF72C30F6]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwCreateProcess [0xF72C3090]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwCreateProcessEx [0xF72C30A4]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwDeleteKey [0xF72C310A]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwDeleteValueKey [0xF72C3136]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwEnumerateKey [0xF72C31A4]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwEnumerateValueKey [0xF72C318E]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwLoadKey2 [0xF72C31BA]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwMapViewOfSection [0xF72C3278]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwNotifyChangeKey [0xF72C31E6]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwOpenKey [0xF72C30E2]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwOpenProcess [0xF72C3054]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwOpenThread [0xF72C3068]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwProtectVirtualMemory [0xF72C324C]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwQueryKey [0xF72C3222]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwQueryMultipleValueKey [0xF72C3178]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwQueryValueKey [0xF72C3162]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwRenameKey [0xF72C3120]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwReplaceKey [0xF72C320E]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwRestoreKey [0xF72C31FA]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwSetContextThread [0xF72C30CE]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwSetInformationProcess [0xF72C30BA]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwSetValueKey [0xF72C314C]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwTerminateProcess [0xF72C32A7]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwUnloadKey [0xF72C31D0]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0xF72C328E]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwYieldExecution [0xF72C3262]

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtCreateFile

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtMapViewOfSection

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtOpenProcess

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtOpenThread

Code mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtSetInformationProcess



---- Devices - GMER 1.0.15 ----



Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \Driver\atapi \Device\Ide\IdePort2 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-19 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)



AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (McAfee Link Driver/McAfee, Inc.)

AttachedDevice \Driver\Tcpip \Device\Ip mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)

AttachedDevice \Driver\Tcpip \Device\Tcp mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)

AttachedDevice \Driver\Tcpip \Device\Udp mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)

AttachedDevice \Driver\Tcpip \Device\RawIp mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)



---- EOF - GMER 1.0.15 ----

[msc hotline sat]

Pues si ni el GMER no encuentra nada, mas que fichero corriendo en proceso oculto como rootkit, debe ser una DLL que ha quedado alterada y debe restaurarse



en XP es la

SHDOCVW.DLL



y en windows7 la SHELL32.DLL



Puede que lo soluciones reparando dichos ficheros o creandolos si se han borrado , y para ello puedes probar lanzar esta instruccion:



SFC /SCANNOW



Para lo cual probablemente pedirá el CD de instalacion.



Dinos si con ello se ha solucionado, gracias



saludos



ms, 14-11-2012

[GRN]

Hola.



Tengo el disco de windows original, pero también tengo un portatil con la misma versión de windows (XP) y SP3 y el fichero tiene mismo tamaño, fecha y hora. ¿Puedo copiarlo y remplazar?.



Si no es así, al ejecutar el comando y meter el dico original, ¿me cambiará más cosas?

[GRN]

[quote="GRN"]Hola.



Tengo el disco de windows original, pero también tengo un portatil con la misma versión de windows (XP) y SP3 y el fichero tiene mismo tamaño, fecha y hora. ¿Puedo copiarlo y remplazar?.



Si no es así, al ejecutar el comando y meter el dico original, ¿me cambiará más cosas?[/quote]

Veo que aparenta ser fácil lo que me indicastéis :? así que procedo a ejecutarlo, pero cuando me pide el disco , inserto el original (no me cabe ninguna duda, no tengo otro) y me dice que no es correcto y que inserte el WINDOWS XP Profesional pero..... ¡lo que yo tengo es la versión home (podría adjuntaros el pantallazo si se pudieran pegar imágenes); ¿cómo es posible?; hasta ahora lo único que he hecho es actualizar según me lo iba indicando windows update!!!!:



Gracias.

[GRN]

[quote="GRN"][quote="GRN"]Hola.



Tengo el disco de windows original, pero también tengo un portatil con la misma versión de windows (XP) y SP3 y el fichero tiene mismo tamaño, fecha y hora. ¿Puedo copiarlo y remplazar?.



Si no es así, al ejecutar el comando y meter el dico original, ¿me cambiará más cosas?[/quote]

Veo que aparenta ser fácil lo que me indicastéis :? así que procedo a ejecutarlo, pero cuando me pide el disco , inserto el original (no me cabe ninguna duda, no tengo otro) y me dice que no es correcto y que inserte el WINDOWS XP Profesional pero..... ¡lo que yo tengo es la versión home (podría adjuntaros el pantallazo si se pudieran pegar imágenes); ¿cómo es posible?; hasta ahora lo único que he hecho es actualizar según me lo iba indicando windows update!!!!:



Gracias.[/quote]

Al parecer es un problema reconocido por Microsoft en Windows XP Home. Ver:

[b]

https://support.microsoft.com/es-es?wa=wsignin1.0[/b]



Pero como me da un poco miedo meterme en esos lios insisto en mi pregunta previa:



1. ¿Podría reemplazar "[i]a lo bruto, desde el explorador de windows[/i]" el fichero dudoso (en mi PC sobremesa) con el correspondiente a mismo SO (XP) y SP (3) que copiaría de mi portátil?.



2. De no ser así, ¿podría hacerlo usando un CD windows live?



3. ¿Es mejor hacer primero lo indicado por Mirosoft para usar así el CD original de Windows XP home SP2?

(el miedo que me da esto es que me reinstale librerías más antiguas que las que ya tengo (buenas) o que empiece a pedir CD SP3 (que no tengo))

[msc hotline sat]

Estas preguntas deberias hacerlas a support de microsoft, ya que son los que mas saben al respecto, ya que dices que es un problema conocido por ellos.



Como que usas XP, mira de sobreescribir el fichero SHDOCVW.DLL por el de otro oirdenador con igual sistema operativo, pero primero salva el actual, por si acaso...



saludos



ms, 15-11-2012

[GRN]

Buenos días.



He sobrescrito el fichero con el mismo procedente de otro ordenador con mismo SO y SP y me sigue sucediendo lo mismo: los ficheros tanto del escritorio como del panel de control, se reordenan solos.



¿Alguna otra idea?



Mi principal preocupación es saber si sigo teniendo un troyano/virus o solo un "efecto" desagradable.



Gracias y saludos.

[msc hotline sat]

Creo que se trata de un efecto colateral tras haber sufrido el sirefef, seguramente que alguna de las claves que utilizan dicho fichero no apunta a la ubicación correcta, o se ha eliminado bien por el virus o por algun antivirus utilizado.



Miraremos de encontrar las que no restauramos con el ELISIREF, por si hiciera falta hacerlo en este caso, y si lo vieramos, lo implementaríamos en una nueva versiión, de lo cual informaremos.



saludos



ms, 15-11-2012

[GRN]

OK. [b]Muchas gracias[/b].



Estaré pendiente.

[msc hotline sat]

Reunidos nuestros tecnicos en mesa redonda, se ha decidido que lo mejor es implementar de nuevo la clave que creemos es la causa del problema:



Con el bloc de notas, copia y pega las lineas de abajo, incluyendo la de REGEDIT 4, y luego lo guardas en un fichero (ALT-A y GUARDAR COMO) , seleccionando en TIPO "TODOS LOS ARCHIVOS, su contenido en un fichero que se llame ClassOrdenIconos.REG y hecho esto lo ejecutas con doble clic, y tras reiniciar nos cuentas el resultado, a ver si desplazando un icono y pulsando F5 se mantiene en su posicion o no.







REGEDIT4



[HKEY_CLASSES_ROOT\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"



[HKEY_CLASSES_ROOT\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,5c,73,\

68,64,6f,63,76,77,2e,64,6c,6c,00

"ThreadingModel"="Apartment"

[GRN]

¡Habéis dado en el clavo! :) :) :)



No es la primera vez que me sacáis de un apuro a mi o a algún familiar. No me canso -ni me cansaré- de alabar el extraordinario servicio que dais en esta página.



Una vez más: ¡gracias! :D :D



(Y espero, de una vez, haber escarmentado y no meterme yo solo en estos líos :oops: :oops: :oops: )

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 19-11-2012