Posible amenaza (SOLUCIONADO)

[mkol12]

Buenas Compañeros, mi problema es que hace unos dias noto la pc algo rara, cuando tengo abierta alguna venta o juego al rato se me cierra pasa mas en el juego,aveces el mouse se mueve solo abre ventanas,la barra de tareas etc, entonce me baje el elistara pero al abrirlo me dice que fue modificado por un posible virus, necesito de su ayuda pls :D

[msc hotline sat]

Está claro que tiene un virus infector que le ha infectado nuestra utilidad ELISTARA, que como todas las nuestras, tiene comprobador de checksum, para avisar si es modificada, dado el entorno en el que se mueve...



Pruebe algun antivirus ONLINE a ver si detecta de qué virus se trata, y sino envienos este ELISTARA modificado y lo analizaremos e informaremos:



>



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



saludos



ms, 26-11-2012

[mkol12]

Buenas hermano, ya les envie el archivo para que ustedes lo analizen por aca estare atento asu informe y el procedimiento a seguir , en estos momentos estoy pasando el kaspersky online haber si encuentra algo de todas para cuando termine por aca les comento ,saludos y gracias hermano

[msc hotline sat]

Recibidos dos ficheros ELISTARA, ninguno de los dos está infectado, si bien ha costado desempaquetar uno de los dos ya que en lugar de password virus estaba con password zonavirus...



Ejecutados los dos ficheros no ha habido problema de ejecucion ni mensaje de fichero modificado por virus



Compruebelo y si es el caso, vuelva a enviarnos solo el que diga modificado, y empaquetelo con password virus, gracias



saludos



ms, 27-11-2012

[mkol12]

Buenas ahi les envie el archivo , algo mas solo me salta ese problema ...modificado por un virus... solo cuando lo ejecuto como administrador, si lo ejecuto normal no pasa nada y aun estoy pasando el antivirus online disculpe la tardanza pero eh tenido interruciones por aca , saludos :D

[msc hotline sat]

Entonces no es problema por infeccion de virus, ya que lo diaria siempre, sino de que su ordenador actuando como Administrador, no procesa correctamente y no resuelve el mismo checksum que cuando lo hace en modo normal.



Pruebelo como usuario Administrador, que no es lo mismo, y sepa que quizas algo de su hardware o del sistema no procesa correctamente, sin tener que ver necesariamente con un virus.



De todas formas, lance el SPROCES, pulse en SALIR y posteenos el informe resultante:


[quote="para DESCARGAR el SPROCES, msc"]



http://www.zonavirus.com/descargas/sproces.asp


[/quote]

saludos



ms, 27-11-2012

[mkol12]

Buenas, Tambien queria comentar que el antivirus online va por 40% y a encontrado 11 malintencionados dice Kaspersky, cuando termine al 100% les doi el informe mas detallado por ahora no me permite ver nada mas.



Aca El SprocLog:



(27-11-2012 19:13:53 GMT)

SProces v6.6 (c)2012 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: ELVIS-C19931027

Usuario: AdministradorMKL

Sesión de Usuario: AdministradorMKL



39 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EGUI.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\RKFREE\RKFREE.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY SECURITY SCAN 2.0\KSS.EXE

C:\ARCHIVOS DE PROGRAMA\LSI SOFTMODEM\AGRSMSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY SECURITY SCAN 2.0\KSS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL10.SQLEXPRESS\MSSQL\BINN\SQLSERVR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\NVIDIA CORPORATION\NVIDIA UPDATUS\DAEMONU.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\PNKBSTRA.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MATHTYPE\MATHTYPE.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADORMKL\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

R0 - HKUS\S-1-5-21-448539723-682003330-1606980848-1011\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'UpdatusUser')

R0 - HKUS\S-1-5-21-448539723-682003330-1606980848-1011\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'UpdatusUser')

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local> (0)

O1 - Hosts: ---127.0.0.1 youtube.com

O1 - Hosts: ---127.0.0.1 www.youtube.com

O1 - Hosts: 127.0.0.1 facebook.com

O1 - Hosts: 127.0.0.1 www.facebook.com

O1 - Hosts: 127.0.0.1 es-es.facebook.com

O1 - Hosts: 127.0.0.1 touch.facebook.com

O1 - Hosts: 127.0.0.1 myspace.com

O1 - Hosts: 127.0.0.1 www.myspace.com

O1 - Hosts: 127.0.0.1 www.ebuddy.com

O1 - Hosts: 127.0.0.1 ebuddy.com

O1 - Hosts: 127.0.0.1 web.ebuddy.com

O1 - Hosts: 127.0.0.1 www.zylom.com

O1 - Hosts: 127.0.0.1 zylom.com

O1 - Hosts: 127.0.0.1 http://www.facebook.com

O1 - Hosts: 127.0.0.1 es-la.facebook.com

O1 - Hosts: 127.0.0.1 www.noseq.com

O1 - Hosts: 127.0.0.1 noseq.com

O1 - Hosts: 127.0.0.1 serial.alcohol-soft.com

O1 - Hosts: 127.0.0.1 www.alcohol-soft.com

O1 - Hosts: 127.0.0.1 images.alcohol-soft.com

...

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Archivos de programa\HP\Smart Web Printing\SmartWebPrinting.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: WinToFlash Suggestor - {FC36B0BD-27F0-4cdd-8AB1-50651EFC3EFD} - C:\Archivos de programa\WinToFlash Suggestor\WinToFlashSuggestor.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\AdministradorMKL\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [KSS] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" /autorun

O4 - HKUS\S-1-5-21-448539723-682003330-1606980848-1011\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login

O4 - HKLM\..\Run: [rkfree] "C:\Archivos de programa\rkfree\rkfree.exe" /b

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O8 - Extra context menu item: Buscar en la web - C:\Archivos de programa\SweetIM\Toolbars\Internet Explorer\resources\menuext.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: WinToFlash Suggestor - {A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F} - C:\Archivos de programa\WinToFlash Suggestor\WinToFlashSuggestor.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_33) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} (Java Plug-in 1.6.0_33) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_33) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: ATIEXTEVENT - Invalid registry found

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 455936 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 691696 bytes) ()



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Archivos de programa\LSI SoftModem\agrsmsvc.exe

O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\httpd.exe

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: epfw - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfw.sys

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Servicio HP CUE DeviceDiscovery (hpqddsvc) - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Archivos de programa\HP\Digital Imaging\bin\hpqddsvc.dll

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Servicio de Kaspersky Security Scan (KSS) - Kaspersky Lab ZAO - C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe

O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZinw12.dll

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe

O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZipm12.dll

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - LSI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Personal Firewall (Epfwndis) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\Epfwndis.sys

O23 - Service: GMSIPCI - Unknown owner - D:\INSTALL\GMSIPCI.SYS (file missing)

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: hpqcxs08 - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Archivos de programa\HP\Digital Imaging\bin\hpqcxs08.dll

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Archivos de programa\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: nocashio - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\nocashio.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI NIC Family NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Anchorfree HSS Adapter (taphss) - AnchorFree Inc - C:\WINDOWS\SYSTEM32\DRIVERS\taphss.sys

O23 - Service: ZTE NMEAExt2 Port (ZTEusbMB) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmeaext2.sys (file missing)

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys (file missing)

O23 - Service: ZTE USB-NDIS miniport (ZTEusbnet) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnet.sys (file missing)

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys (file missing)

O23 - Service: ZTE NMEAExt Port (ZTEusbnmeaext) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmeaext.sys (file missing)

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)



46 Servicios.

16 de Carga Automatica.

28 de Carga Manual.

2 Deshabilitados.







Los Host Los tengo yo modificado de esa manera ,saludos :D

[msc hotline sat]

Pues vemos estos ficheros sospechosos:





C:\ARCHIVOS DE PROGRAMA\RKFREE\RKFREE.EXE



C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY SECURITY SCAN 2.0\KSS.EXE





Añáda .VIR a su extension y envienoslos para analizar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-11-2012

[mkol12]

Buenas acabo de terminar de analizar el equipo con el antivirus online karpesky, aca el log:



Malintencionado (10)



Información sobre software malicioso detectado en el equipo.

Recomendaciones de Kaspersky



1- UDS:DangerousObject.Multi.Generic



samp.dll



C:\Documents and Settings\AdministradorMKL\Escritorio\Nueva carpeta\Rockstar Games\GTA San Andreas



2- Trojan.Win32.Genome.cxhy



ScreencastPlugin.dll



C:\Documents and Settings\AdministradorMKL\Mis documentos\Descargas\Camtasia Studio 6.0.0 Build 689 by giovanni1025.rar//Camtasia Studio 6.0.0 Build 689 by giovanni1025\Camtasia Studio 6.0 Traduccion Esp by



giovanni1025.exe//Media\Studio\OutputPlugins



3- Trojan.Win32.Genome.khax



TSCFtpPlugin.dll



C:\Documents and Settings\AdministradorMKL\Mis documentos\Descargas\Camtasia Studio 6.0.0 Build 689 by giovanni1025.rar//Camtasia Studio 6.0.0 Build 689 by giovanni1025\Camtasia Studio 6.0 Traduccion Esp by

giovanni1025.exe//Media\Studio\OutputPlugins



4-HEUR:Trojan.Win32.Generic



UPX



C:\Documents and Settings\AdministradorMKL\Mis documentos\Windows XP PRO SP3 Live CD Español (2010)(1).rar//LiveXP-PRO-SP3-CD-ES-FireFoxFixed\LiveXP-PRO-SP3-CD-ESP-FireFoxFixed.iso//??????????/???????/???????/



5- HEUR:Trojan.Win32.Generic



tales of pirate hack.txt



C:\Documents and Settings\AdministradorMKL\Mis documentos\Descargas



6- HEUR:Trojan.Win32.Generic



UPX



C:\Documents and Settings\AdministradorMKL\Mis documentos\Descargas\hotspot shield 2011.rar.part//hotspot shield 2011\host\stub.exe/



7- HEUR:Trojan.Win32.Generic



UPX



C:\Documents and Settings\AdministradorMKL\Mis documentos\Descargas\hotspot shield 2011.rar.part//hotspot shield 2011\Install.exe/



8- HEUR:Trojan.Win32.Generic



UPX



C:\Documents and Settings\AdministradorMKL\Mis documentos\Descargas\hotspot shield 2011.rar.part//hotspot shield 2011\Serial.exe/



9- HEUR:Trojan.Win32.Generic



UPX



C:\Documents and Settings\AdministradorMKL\Mis documentos\Descargas\hotspot shield 2011.rar.part//hotspot shield 2011\stub.exe/



10- HEUR:Trojan.Win32.Generic



themaPoster.exe



C:\Documents and Settings\AdministradorMKL\Mis documentos\Descargas\themaPoster.rar.part/



Vulnerabilidades (7)



Información sobre aplicaciones y componentes del sistema operativo en los que se han detectado vulnerabilidades.



C:\Archivos de programa\ESET\ESET Smart Security\eguiLang.dll

C:\Archivos de programa\ESET\ESET Smart Security\egui.exe

C:\Archivos de programa\Java\jre6\bin\java.exe

C:\Archivos de programa\Opera\opera.exe

C:\Archivos de programa\Pidgin\pidgin.exe

C:\WINDOWS\system32\msxml4.dll

C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll



Otros problemas (8)



Información sobre vulnerabilidades asociadas con la configuración de aplicaciones instaladas y el sistema operativo.



"La ejecución automática de CD/DVD está activada"

"Explorador de Windows: mostrar extensiones de tipos de archivos conocidos"

"Microsoft Internet Explorer: desactivar la caché de datos recibidos por canales protegidos"

"Microsoft Internet Explorer: desactivar el envío de informes de error"

"Microsoft Internet Explorer: eliminar cookies"

"Microsoft Internet Explorer: borrar la lista de dominios de confianza"

"Microsoft Internet Explorer: activar la limpieza automática de la caché al cerrar el navegador"

[msc hotline sat]

Envianos los ficheros que te indicabamos , y si quieres añade alguno de estos que te indica el kaspersky, y los analizremos



saludos



ms, 28-11-2012

[msc hotline sat]

Recibidos los ficheros solicitados, uno es un Keylogger ya controlado con el actual ELISTARA (COMPRUEBALO ARRANCANDO EN MODO SEGURO), y el otro parece ser de kaspersky, aunque en internet se dice lo contrario, por lo que si no usas KAV,mejor dejalo con extension .VIR ...:



http://www.threatexpert.com/files/kss.exe.html



Dinos si asi persiste alguna anomalia, gracias



saludos



ms, 28-11-2012

[mkol12]

Buenas, se el kss aparecio despue que baje el kasperky scan para analizar la pc , y estuve comprobando y el kss.exe aparece solo cuando ejecuto el karpèrky scan , de todo modo pienso eliminarlo , ahi les envio unos de los archivo que indica karperky saludos y gracias

[msc hotline sat]

Sí, recibimos 1 zip con tres sospechosos que saltan las alarmas al desempaquetarlos, los monitorizaremos e informaremos del resultado, procediendo a controlarlos en la próxima version del ELISTARA si, como parece, procede.



saludos



ms, 29-11-2012

[msc hotline sat]

Ofrecemos el resultado de la monitorizacion de los ficheros enviados parta su análisis:



Pues el SAMP parece ser un buscador de servidores del juego San Andreas, que por las rutinas empleadas hacen saltar las alertas, incluso las de kaspersky, pero no vemos que sea malicioso, por lo que lo dejamos estar, si no lo quiere tener instalado, eliminelo.



En cambio el "Tales of pirate hack.exe" es un Team viewer con inyeccion de código, que puede ser malicioso, por lo cual pasamos a controlarlo a partir del ELISTARA 26.64 de hoy como REMOTE ADMIN CODE INJECTOR



Dicha version del ELISTARA 26.64 estará disponible en nuestra wbe a partir de las 19 h CEST de hoy



saludos



ms, 28-11-2012

[mkol12]

Buenas hermanos pues ahi me baje el elistara y lo ejecute correctamente

muchas gracias hermano se le agradece la ayuda y la buena onda, cualquier cosa estare por aca en otro post saludos :D

[msc hotline sat]

Pues lo celebranmos, y dando por solucionado el Tema,. procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe dond eestamos



saludos



ms, 30-11-2012