carpeta windows en "mis documentos" contiene archivos sospechosos

[sellox]

Holaa, hace muucho tiempo que no venía a este foro, lamentablemente vengo porque vuelvo a necesitar ayuda.



El problema es que hace unos días el "ventilador/procesador"(no se cual hace más ruido) de mi pc comenzó a hacer mucho ruido (como si estuviera trabajando mucho) entonces eché un vistaso al administrador de programas y descubrí un proceso que ocupaba mucho cpu "irc.exe" lo finalicé y todo volvió a ser normal. Con el tiempo este suceso volvió a repetirse un par de veces más, con diferentes nombres de procesos (eclipse, firewall, dllupdate, etc), hasta que decidi buscar el archivo con el "buscador de archivos" y encontre una carpeta en mis documentos llamada "windows" que contenía toda esta lista de ejecutables, para mi desconocidos:


[code]dllupdate.exe
eclipse.exe
firewall.exe
igfxservice.exe
irc.exe
miner.dll
msnotepad.exe
phatk.cl
phatk.ptx
usft_ext.dll[/code]

Eliminé los archivos pero guarde una muestra en un comprimido zip, que aún estoy averiguando a donde enviarlo para que se pueda analizar [b]edit: ya lo encontré y envié la muestra[/b] (LA CLAVE ES "zonavirus" sin comillas, porque me pedía mínimo 8 caracteres).



En mis pocas experiencias previas con virus, sé que con sólo eliminar estos archivos no he conseguido acabar con la amenaza de mi computador. ¿que pasos que debo seguir para llevar acabo una limpieza más completa?



[b]----[/b]

[b]Volvió a ocurrir:[/b] apareció el proceso "windowsworker.exe" y el ventilador se subio a mil revoluciones...en la carpeta windows que está en mis documentos aparecieron muchos de los archivos que habia borrado, menos los .exe pareciera que cada vez que ocurre esto se están descargando malwares en mi pc :(



elistara no encuentra nada



---

olvide mencionar que cuando el ventilador comienza a sonar muy fuerte el computador se pone lento y no se puede hacer casi nada sin antes finalizar el proceso causante del problema

[msc hotline sat]

Pues el password normal es "virus", cuando bastan 4 letras, y cuando pide 8 se indica que el password sea "infected", asi que cuando envie el ZIP o RAR, hagalo asi, y recuerde:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



saludos



ms, 27-11-2012

[msc hotline sat]

Como sea que ha llegado su ZIP cuando aun teniamos fresco lo del password "sui generis" que ha empleado, hemos podido desempaquetarlo y tras analizarlo pasamos a controlar todos los ficheros como RISKTOOL BITCOINMINER a partir del ELISTARA 26.62 de hoy



http://www.zonavirus.com/noticias/2012/variante-de-risktool-bitcoinminer.asp



A partir de las 19 h CEST de hoy descarguelo y pruebelo.



saludos



ms, 27-11-2012

[sellox]

[code](27-11-2012 18:52:00 (GMT))
EliStartPage v26.62 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2012)
--------------------------------------------------
Sistema Operativo: Windows 7 Ultimate
Usuario: UpdatusUser
ID de Usuario: S-1-5-21-1762334142-3529612765-573448242-1002

Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Users\udu\Documents\Windows\FIREWALL.EXE --> Eliminado, RiskTool.BitCoinMiner
C:\Users\udu\msdata\ECM-W222.EXE --> Eliminado, RiskTool.BitCoinMiner
C:\Users\udu\msdata\ECM2_W2.EXE --> Eliminado, RiskTool.BitCoinMiner
C:\Users\udu\msdata\ECM2_W222.EXE --> Eliminado, RiskTool.BitCoinMiner

Nº Total de Directorios: 36932
Nº Total de Ficheros: 171437
Nº de Ficheros Analizados: 42717
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados: 4[/code]

Muchas gracias como siempre por la rápida respuesta :)

te informaré en caso de que algún problema persista. Adiós :mrgreen:

[sellox]

Y no :(



todavía sigue reapareciendo, el virus no fue exitosamente eliminado... ayura

[msc hotline sat]

Se controló lo que nos enviaste, pero seguramente no enviaste todo lo malicioso...



Lanza un SPROCES, pulsa en SALIR y posteanos el contenido de C:\sproclog.txt y lo analizaremos:


[quote="para DESCARGAR el SPROCES, msc"]



http://www.zonavirus.com/descargas/sproces.asp


[/quote]

saludos



ms, 28-11-2012

[sellox]

[code](28-11-2012 15:37:07 GMT)
SProces v6.6 (c)2012 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Windows 7 Ultimate (v6.1.7600)
Internet Explorer: (v9.0.8112.16421) 0
Equipo: udu-PC
Usuario: udu
Sesión de Usuario: udu

50 Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WININIT.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\LSM.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\NVVSVC.EXE
C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NVSCPAPISVR.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\PROGRAM FILES (X86)\COMMON FILES\ADOBE\ARM\1.0\ARMSVC.EXE
C:\WINDOWS\SYSTEM32\AERTSR64.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\HAMACHI-2.EXE
C:\WINDOWS\SYSWOW64\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSWOW64\PNKBSTRA.EXE
C:\PROGRAMDATA\SKYPE\TOOLBARS\SKYPE C2C SERVICE\C2C_SERVICE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WLIDSVC.EXE
C:\WINDOWS\SYSTEM32\WLIDSVCM.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\OSPPSVC.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\NVXDSYNC.EXE
C:\WINDOWS\SYSTEM32\NVVSVC.EXE
C:\WINDOWS\SYSTEM32\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\RAVCPL64.EXE
C:\WINDOWS\SYSTEM32\LWEMON.EXE
C:\USERS\udu\MSDATA\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\WMPNETWK.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\WINDOWS\SYSTEM32\DWM.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE
C:\WINDOWS\SYSTEM32\SEARCHFILTERHOST.EXE
C:\WINDOWS\SYSTEM32\AUDIODG.EXE
C:\USERS\udu\DESKTOP\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\SysWOW64\ieframe.dll
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\SysWOW64\ieframe.dll (User 'UpdatusUser')
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Facebook Update] "C:\Users\udu\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
O4 - HKCU\..\Run: [EvolveClient] "C:\Games\Echobit\Evolve\EvolveClient.exe" -autorun
O4 - HKCU\..\Run: [Windows Explorer] C:\Users\udu\msdata\iexplorer.exe
O4 - HKCU\..\Run: [WindowsDefender] C:\Users\udu\Documents\Windows\firewall.exe
O4 - HKCU\..\Run: [WindowsWorker] C:\Users\udu\Documents\Windows\winworker.exe
O4 - HKCU\..\Run: [CMDHost] "C:\Users\udu\AppData\Roaming\CMDHost0.exe"
O4 - HKUS\S-1-5-21-1762334142-3529612765-573448242-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-1762334142-3529612765-573448242-1001\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Games\Hamachi\hamachi-2-ui.exe" --auto-start
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Enviar a OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Carl\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL
O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_35) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} (Java Plug-in 1.6.0_35) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_35) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL

Información Adicional:
----------------------

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Andrea RT Filters Service (AERTFilters) - Andrea Electronics Corporation - C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe
O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys (file missing)
**O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted - C:\WINDOWS\SYSTEM32\NULL1 (file missing)
O23 - Service: Google Update Servicio (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
*O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Games\Hamachi\hamachi-2.exe
O23 - Service: HP CUE DeviceDiscovery Service (hpqddsvc) - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Program Files (x86)\HP\Digital Imaging\bin\hpqddsvc.dll
O23 - Service: HP Network Devices Support (HPSLPSVC) - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k HPService - C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL
O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys (file missing)
O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\Windows\system32\HPZinw12.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvvsvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\Windows\system32\HPZipm12.dll (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Skype C2C Service - Skype Technologies S.A. - C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
**O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - %SystemRoot%\System32\svchost.exe -k secsvcs - %ProgramFiles%\Windows Defender\mpsvc.dll (file missing)

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adp94xx.sys (file missing)
O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpahci.sys (file missing)
O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys (file missing)
O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\DRIVERS\aliide.sys (file missing)
O23 - Service: amdsata - Advanced Micro Devices - C:\WINDOWS\system32\DRIVERS\amdsata.sys (file missing)
O23 - Service: amdsbs - AMD Technologies Inc. - C:\WINDOWS\system32\DRIVERS\amdsbs.sys (file missing)
O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arc.sys (file missing)
O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arcsas.sys (file missing)
O23 - Service: Broadcom NetXtreme II VBD (b06bdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\bxvbda.sys (file missing)
O23 - Service: Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 (b57nd60a) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60a.sys (file missing)
O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltLo.sys (file missing)
O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltUp.sys (file missing)
O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\Brserid.sys (file missing)
O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrSerWdm.sys (file missing)
O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbMdm.sys (file missing)
O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbSer.sys (file missing)
O23 - Service: catchme - Unknown owner - C:\ComboFix\catchme.sys (file missing)
O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys (file missing)
O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1e6032e.sys (file missing)
O23 - Service: EagleX64 - Unknown owner - C:\Windows\system32\drivers\EagleX64.sys (file missing)
O23 - Service: Broadcom NetXtreme II 10 GigE VBD (ebdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\evbda.sys (file missing)
O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\DRIVERS\elxstor.sys (file missing)
O23 - Service: Evolve Virtual Miniport Driver (EvolveVirtualAdapter) - Echobit, LLC - C:\WINDOWS\SYSTEM32\DRIVERS\evolve.sys (file missing)
O23 - Service: Evolve Service (EvoSvc) - Unknown owner - C:\Games\Echobit\Evolve\EvoSvc.exe" -service -logfile "C:\ProgramData\Echobit\Evolve\EvoSvc.log (file missing)
O23 - Service: Google Update Servicio (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys (file missing)
O23 - Service: Hauppauge Consumer Infrared Receiver (hcw85cir) - Hauppauge Computer Works, Inc. - C:\WINDOWS\system32\drivers\hcw85cir.sys (file missing)
O23 - Service: hpqcxs08 - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Program Files (x86)\HP\Digital Imaging\bin\hpqcxs08.dll
O23 - Service: HpSAMD - Hewlett-Packard Company - C:\WINDOWS\system32\DRIVERS\HpSAMD.sys (file missing)
O23 - Service: iaStorV - Intel Corporation - C:\WINDOWS\system32\DRIVERS\iaStorV.sys (file missing)
O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\DRIVERS\iirsp.sys (file missing)
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RTKVHD64.sys (file missing)
O23 - Service: LSI_FC - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_fc.sys (file missing)
O23 - Service: LSI_SAS - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas.sys (file missing)
O23 - Service: LSI_SAS2 - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas2.sys (file missing)
O23 - Service: LSI_SCSI - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_scsi.sys (file missing)
O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\DRIVERS\megasas.sys (file missing)
O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\DRIVERS\MegaSR.sys (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: MSICDSetup - Unknown owner - D:\CDriver64.sys (file missing)
O23 - Service: RT73 USB Extensible Wireless LAN Card Driver (netr7364) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\netr7364.sys (file missing)
O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\DRIVERS\nfrd960.sys (file missing)
O23 - Service: Service for NVIDIA High Definition Audio Driver (NVHDA) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvhda64v.sys (file missing)
O23 - Service: nvlddmkm - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvlddmkm.sys (file missing)
O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvraid.sys (file missing)
O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvstor.sys (file missing)
O23 - Service: Eye 312 (PAC7302) - PixArt Imaging Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PAC7302.SYS (file missing)
O23 - Service: ql2300 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql2300.sys (file missing)
O23 - Service: ql40xx - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql40xx.sys (file missing)
O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys (file missing)
O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\DRIVERS\sisraid4.sys (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: stexstor - Promise Technology - C:\WINDOWS\system32\DRIVERS\stexstor.sys (file missing)
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\DRIVERS\viaide.sys (file missing)
O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\DRIVERS\vsmraid.sys (file missing)
O23 - Service: VST64HWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTBS26.SYS (file missing)
O23 - Service: VST64_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTDPV6.SYS (file missing)
O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTCNXT6.SYS (file missing)
O23 - Service: Logitech Virtual Bus Enumerator Driver (WmBEnum) - Logicool Co. Ltd. - C:\WINDOWS\SYSTEM32\drivers\WmBEnum.sys (file missing)
O23 - Service: Logitech Gaming HID Filter Driver (WmFilter) - Logicool Co. Ltd. - C:\WINDOWS\SYSTEM32\drivers\WmFilter.sys (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Logitech Virtual Hid Device Driver (WmVirHid) - Logicool Co. Ltd. - C:\WINDOWS\SYSTEM32\drivers\WmVirHid.sys (file missing)
O23 - Service: Logitech Translation Layer Driver (WmXlCore) - Logicool Co. Ltd. - C:\WINDOWS\SYSTEM32\drivers\WmXlCore.sys (file missing)

Listado de Servicios (Deshabilitados):
--------------------------------------

81 Servicios.
17 de Carga Automatica.
64 de Carga Manual.
0 Deshabilitados.
[/code]

[msc hotline sat]

Envianos tambien estos otros, ya que no es su ubicacion normal:





C:\WINDOWS\SYSTEM32\WLIDSVCM.EXE



C:\Users\udu\msdata\iexplorer.exe



C:\Users\udu\AppData\Roaming\CMDHost0.exe





Una vez los recibamos, los analizaremos e informaremos



saludos



ms, 28-11-2012





NOTA: Si les quieres añadir .VIR a su extension para evitar que se lancen al reiniciar, siempre estarás a tiempo de volverlos a renombrar si no resultan maliciosos. ms.

[sellox]

no se encuentran los archivos:

C:\Users\udu\msdata\iexplorer.exe

C:\Users\udu\AppData\Roaming\CMDHost0.exe



envie una muestra con: (encontre la opcion para que permita poner claves de 4 digitos asique use "virus"

C:\WINDOWS\SYSTEM32\WLIDSVCM.EXE



pero le cambie la terminacion a ".vir"





... hace poco se abrio automaticamente cmd.exe y trato de hacer cosas por si solo... me dio miedito y lo cerre y eso...

[msc hotline sat]

Pies los ficheros que no encuentra los lanzan estas claves:







O4 - HKCU\..\Run: [Windows Explorer] C:\Users\udu\msdata\iexplorer.exe



O4 - HKCU\..\Run: [CMDHost] "C:\Users\udu\AppData\Roaming\CMDHost0.exe





Si no los encuentra, eliminelas, para lo cual lance el SPROCES, pulse SCAN, marque las dos claves indicadas y escoja ELIMINAR.





y ya que estos ficheros no son los malwares que buscamos, envienos este otro y lo analizaremos:





C:\WINDOWS\SYSTEM32\AERTSR64.EXE





que sí que lo tiene porque está en uso...



Lo analizarenmos junto con el otro que nos dice C:\WINDOWS\SYSTEM32\WLIDSVCM.EXE



(aunque tenga extension .VIR nuestras utilidades lo contemplan)







saludos



ms, 28-11-2012

[sellox]

C:\Windows\System32\DriverStore\FileRepository\hdxdell.inf_amd64_neutral_7a396ae6f599a59d

C:\Program Files\Realtek\Audio\HDA

en ambas direcciones encontre el archivo AERTSr64.exe

mas no en C:\WINDOWS\SYSTEM32\ :?



no se que esta pasando :'C



elimine las claves que dijo y ahorita voy a mandar el AERTSr64.exe que encontre aunque no este en la misma ubicacion



edit: mande los dos porsiacaso..

PD: no se porque las tildes ya no salen asique voy a escribir asi nomas

[msc hotline sat]

Pues cuando los recibamos, los analizaremos e informaremos del resultado



saludos



ms, 28.-11-2012

[msc hotline sat]

Pues los ficheros que nos ha enviado no contienen rutinas viricas, y son de MICROSOFT y de ANDREA ELECTRONICS, a saber:



WLIDSVCM.EXE





publisher................: Microsoft Corp.

product..................: Microsoft_ CoReXT

internal name............: WLIDSVCM.exe

copyright................: Copyright (c) 1995-2010 Microsoft Corp.

original name............: WLIDSVCM.exe

signing date.............: 5:13 AM 3/29/2011

signers..................: Microsoft Corporation; Microsoft Code Signing PCA; Microsoft Root Authority

file version.............: 7.250.4232.0

description..............: Microsoft_ Windows Live ID Service Monitor





__________





AERTSr64.exe





publisher................: Andrea Electronics Corporation

product..................: APO Access Service (64-bit)

copyright................: Copyright (c) 2007-2009 Andrea Electronics Corporation. All rights reserved.

file version.............: 1.0.64.10

signing date.............: 2:14 AM 11/18/2009

original name............: AERTSr64.exe

signers..................: Andrea Electronics; VeriSign Class 3 Code Signing 2009-2 CA; Class 3 Public Primary Certification Authority

description..............: Andrea filters APO access service (64-bit)





Y dado lo indicado en anteriores post de este Tema, damos este por solucionado y procedemos a cerrarlo



saludos



ms, 29-11-2012