Ayuda - Posible rootkit en mi PC

[artesuniversales]

Hola amigos:

Desde hace varios días mi pc se comporta de manera extraña. Está muy, muy lenta y el navegador (Firefox, actualizado a la última versión disponible) no sólo tarda una vida en abrir sino que en ocasiones no resuelve direcciones y se queda cargando indefinidamente, pero mientras esto sucede, si abro una nueva pestaña y coloco la misma dirección anterior, entonces abre enseguida. También me da problemas para adjuntar archivos en Gmail ya que salta de inmediato el mensaje de error y sólo consigo adjuntar un archivo luego de varios intentos. Además, se maximizan solas, ventanas de la pc abiertas pero a las que yo había minimizado.

Le he pasado el antivirus Kaspersky, el Spybot y el CCcleaner. Aparentemente no hay problemas ni infecciones pero yo estoy segura de que sí "hay algo" que no puedo detectar.

Desde ya, les agradeceré infinitamente cualquier orientación que puedan darme.

[msc hotline sat]

Pues pruebe el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 7-12-2012

[artesuniversales]

Ante todo, mil gracias por responder a mi consulta.

He aplicado ElistarA y este es el resultado:



(7-12-2012 10:53:33 (GMT))

EliStartPage v26.68 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 5 de Diciembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Administrador



Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\ARCHIVOS DE PROGRAMA\ASK.COM\GENERICASKTOOLBAR.DLL --> Eliminado ASKToolbar(bho/tb)

Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

Detectado HOSTS no Standar.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Debo aclarar que el programa no logró completar el escaneo pues al llegar a un archivo llamado [b]phil2vid.inf [/b] se detuvo abruptamente y la pc se reinició sola.

Otra cosa que quiero mencionar es que al comenzar el escaneo el programa preguntó si quería reemplazar el archivo HOSTS por el original a lo que ante la duda (no tengo en claro de qué se trata) respondí que no.

¿Debo aplicar igualmente la otra herramienta indicada?

Quedo a la espera de vuestras instrucciones.

Desde ya, agradecida.

[msc hotline sat]

Pues aparte de la limpieza que ya hizo el ELISTARA, quedan tres cosas por hacer:



[u][i][b]Detectado HOSTS no Standar.[/b][/i][/u]





Al detectar el HOSTS no standar, si no sabes lo que es, señal que no lo has modificado voluntariamente :) ...



El HOSTS es un fichero (sin extension) sito en C:\windiows\system32\DRIVERS\ETC que contiene una serie de lineas (al menos una básica, la de

127.0.0.1 localhost) que indica la IP a la cual acceder cuando se selecciona la url asignada, de forma que si se pone en dicho fichero 74.125.230.215 google , cuando escribas google en la casilla del navegador, te accederá a google.es sin necesidad de consultar al servidor de DNS cual es la IP que corresponde a google.es, pero ello es aprovechado a veces por los virus, que bloquean el acceso de una URL indicando por ejemplo 127.0.0.1 microsoft redirigiendo microsoft al LOCALHOST, y asi no llegan a dicha web, o poniendo microsoft y una IP maliciosa, acceden a ella cuando escriben microsoft...



En cualquier caso, si no has tocado dicho fichero, si el ELISTARA te indique que está modificado, acepta restaurarlo, para que queda como el original, y asi deshacer lo que pudiere haber hecho un virus.



[u][i][b]No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/b][/i][/u]



Este parche es muy importante en los XP , para evitar la posible intrusion de algunos virus, como el CONFICKER.



Como que al parecer no lo tienes instalado, lanza un windowsupdate (http://www.update.microsoft.com) y acepta actualizar los parches que encuentre a faltar, asi instalará este y los demás que falten.





[b][i][u] phil2vid.inf[/u][/i][/b]



Sobre este fichero sospechoso al dar problemas su escaneo, mira de enviarnoslo para analizar:


[quote]


Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos


[/quote]

saludos



ms, 8-12-2012





NOTA:



Si tras todo esto persiste algun problema, indicanoslo añadiendo a ello el log del SPROCES que indicabamos.



ms.

[artesuniversales]

Amigos: He descargado el parche faltante y restaurado el archivo HOSTS por el original. Volví a aplicar el ElistarA, esta vez desde MODO SEGURO y volvió a reiniciarse la pc al llegar al dichoso archivo [b]phil2vid.inf[/b]

Pero lo más preocupante es que al buscarlo en donde se encuentra (WINDOWS /inf) para poder seguir el procedimiento indicado para el envío de la muestra, no me permite efectuar acción alguna: la pc se tilda por completo y no me queda otra opción que reiniciarla desde el CPU. Es imposible copiarlo o comprimirlo. Basta con posar el mouse sobre él y dar click derecho para que todo se paralice. Incluso el mouse queda estático.

La verdad estoy desconcertada y esperanzada en que la única opción no sea formatear el equipo.

De todas maneras copio aquí el nuevo reporte del ElistarA y el del SPROCES.

Agradezco la información brindada anteriormente y quedo a la espera de vuestros comentarios.

Mil gracias, desde ya. El servicio que brindan es inestimable para quienes como yo, no somos muy expertos en estos temas.



[b]ElistarA:[/b]



Sistema Operativo: Microsoft Windows XP

Usuario: Administrador



Lista de Acciones (por Acción Directa):

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



[b]SPROCES[/b]



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Usuario: Administrador

Sesión de Usuario: Administrador



35 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\BROWSERCOMPANION\BCHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\TASA\MCCITRAYAPP.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\YUNA SOFTWARE\MESSENGER PLUS!\PLUSSERVICE.EXE

C:\WINDOWS\VSNPSTD3.EXE

C:\WINDOWS\TSNPSTD3.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2013\AVP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2013\AVP.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\COMMON FILES\MOTIVE\MCCICMSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2013\KLWTBLFS.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local (0)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Blog This in Windows Live - {2adefb8e-b923-35e6-86e2-2b7841f5d2a2} - mscoree.dll

O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)

O2 - BHO: ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\ContentBlocker\ie_content_blocker_plugin.dll

O2 - BHO: Messenger Plus LATAM - {585941d7-21fa-4e24-8281-c134bfa894c1} - C:\Archivos de programa\Messenger_Plus_LATAM\prxtbMes2.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: VirtualKeyboardBrowserHelperObject - {73455575-E40C-433C-9784-C78DC7761455} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Archivos de programa\BrowserCompanion\updatebhoWin32.dll

O2 - BHO: (no name) - {9c905b42-976e-43c1-bc30-fc5937017909} - (no file)

O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\OnlineBanking\online_banking_bho.dll

O2 - BHO: (no name) - {B530A9A4-1722-4D16-AAD6-AA85E3AD2ADE} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Messenger Plus LATAM Toolbar - {585941d7-21fa-4e24-8281-c134bfa894c1} - C:\Archivos de programa\Messenger_Plus_LATAM\prxtbMes2.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [Browser companion helper] C:\Archivos de programa\BrowserCompanion\BCHelper.exe /T=3 /CHI=kolgnaidildmdbfgdnoapjdianbpajne

O4 - HKLM\..\Run: [TASA_McciTrayApp] "C:\Archivos de programa\TASA\McciTrayApp.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [PlusService] C:\Archivos de programa\Yuna Software\Messenger Plus!\PlusService.exe

O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe"

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - Startup: Telefonica.lnk = C:\Archivos de programa\Telefonica\InstaladorModems\version.exe

O8 - Extra context menu item: Add to Google Photos Screensa&ver - (no file)

O8 - Extra context menu item: Agregar a Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2013\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - (no file)

O9 - Extra button: Teclado Virtual - {0C4CC089-D306-440D-9772-464E226F6539} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Comprobación de direcciones URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_25) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} (Java Plug-in 1.6.0_25) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_25) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Archivos de programa\BrowserCompanion\tdataprotocol.dll

O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Archivos de programa\BrowserCompanion\tdataprotocol.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Archivos de programa\BrowserCompanion\tdataprotocol.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\klif.sys (de 586584 bytes) () Kaspersky Lab

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\nvnrm.sys (de 895744 bytes) () NVIDIA Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Servicio Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: McciCMService - Alcatel-Lucent - C:\Archivos de programa\Common Files\Motive\McciCMService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Ambfilt - Creative - C:\WINDOWS\SYSTEM32\drivers\Ambfilt.sys

O23 - Service: CrystalSysInfo - Unknown owner - C:\Archivos de programa\XULPlayer\SysInfo.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Kaspersky Lab ZAO - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys

O23 - Service: Kaspersky Lab KLKBDFLT (klkbdflt) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klkbdflt.sys

O23 - Service: Kaspersky Lab KLMOUFLT (klmouflt) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klmouflt.sys

O23 - Service: Monfilt - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\Monfilt.sys

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Archivos de programa\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: MREMP50 NDIS Protocol Driver (MREMP50) - Printing Communications Assoc., Inc. (PCAUSA) - C:\ARCHIV~1\COMMON~1\Motive\MREMP50.SYS

O23 - Service: MREMPR5 NDIS Protocol Driver (MREMPR5) - Unknown owner - C:\ARCHIV~1\COMMON~1\Motive\MREMPR5.SYS (file missing)

O23 - Service: MRENDIS5 NDIS Protocol Driver (MRENDIS5) - Unknown owner - C:\ARCHIV~1\COMMON~1\Motive\MRENDIS5.SYS (file missing)

O23 - Service: MRESP50 NDIS Protocol Driver (MRESP50) - Printing Communications Assoc., Inc. (PCAUSA) - C:\ARCHIV~1\COMMON~1\Motive\MRESP50.SYS

O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

O23 - Service: Upper Class Filter Driver (NTIDrvr) - NewTech Infosystems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NTIDrvr.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Parallel Port Joystick Bus device driver (PPJoyBus) - Deon van der Westhuysen - C:\WINDOWS\SYSTEM32\drivers\PPJoyBus.sys

O23 - Service: Parallel Port Joystick device driver (PPortJoystick) - Deon van der Westhuysen - C:\WINDOWS\SYSTEM32\drivers\PPortJoy.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: USB PC Camera (SNPSTD3) (SNPSTD3) - Sonix Co. Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\snpstd3.sys

**O23 - Service: Sophos Virus Removal Tool (SophosVirusRemovalTool) - Unknown owner - C:\Archivos de programa\Sophos\Sophos Virus Removal Tool\SVRTservice.exe (file missing)

O23 - Service: VClone - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\DRIVERS\VClone.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)



42 Servicios.

9 de Carga Automatica.

31 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

Posiblemente dicho fichero phil2vid.inf está dañado o mal asignado, y al acceder a él se cuelga windows.



Puede probar de arrancar con el CD de instalcion y pulsar R para acceder a la consola de recuperacion, y acceder a la carpeta c:\WINDOWS\inf\phildec.inf y añadir .VIR a su extension, y luego copiar en su lugar el mismo de otro ordenador con igual sistema operativo.



Por último, mira si luego puedes enviarnos dicho C:\WINDOWS\inf\phildec.inf.VIR que es como se llamará ahora el que supuestamente es el causante de la anomalia.



saludos



ms, 8-12-2012







NOTA: Analizado el de un XP standar, ofrece la siguiemte informacion:



Nombres (max. 25)



phildec.inf



National Software Reference Library (NIST)



This file was found in the NSRL dataset, in the following products:



Applications, Platforms, Servers (Microsoft)

Windows XP Home Edition (Microsoft)

MSDN Disc 2041 (Microsoft)

MSDN Disc 2442.1 (Microsoft)

MSDN Disc 2442.2 (Microsoft)

MSDN Disc 2442 (Microsoft)

Instant Home Design (Topics Entertainment)

MSDN Disc 2442.6 (Microsoft)

MSDN Disc 2442.4 (Microsoft)



The file was found with the following names:



phildec.in!





SHA256: e74cfaa2aa5826863b62a966fe4353252bea14d383fe51e261e3219d327ae4b1

SHA1: 120345afe072c0bb96987dd45f23d654f4c3bcac

MD5: b802dc893044f7ac6aec2c97ed6220a7

Tamaño: 21.8 KB ( 22374 bytes )

Nombre: phildec.inf

Tipo: unknown

Detecciones: 0 / 46

Fecha de análisis: 2012-12-08 18:13:25 UTC ( hace 0 minutos )





Así que no debe haber problemas en realizar lo comentado.



ms.

[artesuniversales]

Bien, temo que finalmente tendré que formatearla. Hace un par de años mi pc se infectó con VENOM y la envié al servicio técnico para que lo solucionaran. Formatearon el disco e instalaron la actual versión de XP, de la que, por supuesto, no tengo el CD de instalación así que no puedo efectuar la maniobra indicada.

De todas maneras, y como ya dije, les agradezco mucho la información brindada y sobre todo, la celeridad en las respuestas.

Reciban un cordialísmo saludo desde Argentina.

[msc hotline sat]

Para hacer lo indicado no es necesario "su" CD de instalacion, podría hacerlo coin el de algun amigo que tuviera XP, le copiara el fichero en cuestion, y arrancando el suyo con dicho CD proceder con lo indicado.



En cualquier caso, le deseamos éxito en su tarea y gracias por sus elogios :)



saludos



ms, 9-12-2012