"CONDUIT" se reinstala (SOLUCIONADO)

Cerrado
Leguizamo
Mensajes: 3
Registrado: 14 Jun 2013, 13:30

"CONDUIT" se reinstala (SOLUCIONADO)

Mensaje por Leguizamo » 14 Jun 2013, 14:18

¡Hola! Les presento mi problema:



data: OS Windows XP SP3, Navegador FireFox 21.0, antivirus: AVIRA (actualizado) y utilizo el SpyHunter para detección y remoción de spyware periodicamente.



asunto: el spyware CONDUIT se reinstala. Lo hace si se reinicia el sistema (en algún momento) y también si se mantiene la computadora en suspensión. En su reinstalación, no queda funcional como barra de búsqueda.



¿Cómo se manifiesta? Comienza actividad contínua en alguno de los rígidos (tengo 3) -acompañado de algún chasquidito, como si el cabezal quisiera parkear- y empieza a enviar datos a la internet.

El cortafuego de AVIRA nunca lo intercepta. Y la actividad de la computadora suele quedar frizada por un tiempo. Y el rígido queda "capturado"... el cierre del OS queda demorado, el reseteo de la CPU no lo libera y tengo que cortar el suministro eléctrico para "liberarlo". Al reiniciar el sistema luego de este apagado total, no hay actividad evidente.



Cuando esto ocurre, paso el SpyHunter, que lo detecta y en apariencia lo soluciona, aunque advirtiendo que pudiera estar contaminado algún archivo del sistema operativo. Leyendo en la red artículos sobre este problema, pasé el HihackThis y en la salida de datos, no figura en el listado ninguna de las actividades relacionadas con CONDUIT. Tampoco hay algún programa instalado en el sistema con ese nombre, ni ninguna barra de búsqueda o simimlar, ni está dentro del about:config del FireFox, ni hay algún plugin o complemento sospechoso en el mismo.



Si es necesario, díganme si debo ampliar datos.



Desde ya, quedo agradecido si me guían sobre algún procedimiento para quitar a este molesto bichejo.

¡Saludos!

Avatar de Usuario
flacoroo
Mensajes: 6289
Registrado: 09 Mar 2004, 20:32
Ubicación: Paso del Macho,Ver.México

Re: "CONDUIT" se reinstala

Mensaje por flacoroo » 14 Jun 2013, 14:26

Entra al siguiente link, baja el programa, reinicia a modo seguro tu computadora y lo ejecutas y cuando termine pegas el resultado creado en C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]ElistarA[/url]



Y en caso de que sigas con tu problema, baja este programa, lo ejecutas y nos pegas el resultado de log que se crea en C:



[url=http://www.zonavirus.com/descargas/sproces.asp]Sproces[/url]



El elistara tiene la opción de escoger los discos duros instalados o pendrives, examina todos los discos duros y tus pendrives.



Saludos
:lol: :lol: La vida es hermosa....para que complicarnosla :lol: :lol:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: "CONDUIT" se reinstala

Mensaje por msc hotline sat » 14 Jun 2013, 15:44

Recordar que para generar el informe del SPROCES, tras ejecutarlo, se ha de pulsar en SALIR, y en pocos segundos ofrecerá un mensaje diciendo que se ha creado el fichero C:\sproclog.txt.



Abrirlo con el Bloc de Notas y con un copiar y pegar, postearnos su contenido como respuesta de este Tema, gracias



saludos



ms, 14-6-2013

Leguizamo
Mensajes: 3
Registrado: 14 Jun 2013, 13:30

Re: "CONDUIT" se reinstala

Mensaje por Leguizamo » 15 Jun 2013, 19:33

Bueno, he seguido los pasos...



Luego de pasar el primer programa (que encontró algunas infecciones y borró los archivos), volvió a reaparecer el conduit en el registro y activo.



A continuación, copio y pego, los volcados de ambos programas...



*****************************************************************************

(15-6-2013 10:39:42 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Acción Directa):

Restaurado "AppInit_DLLs"

[AppInit_DLLs anterior] = " "

[AppInit_DLLs actual] = ""

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Sospechosa Clave "HKLM\...\Image File Execution Options\3DSMAX.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\CAPTURE.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Eliminada Clave "HKLM\...\Image File Execution Options\CHROME.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\CONNECT.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\CORELDRW.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\CORELPP.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\EAREGISTER.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\FONTNAV.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\GOOGLEEARTH.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\M3GPLAYER.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\MAXFIND.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\NFS.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\PLU26.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Sospechosa Clave "HKLM\...\Image File Execution Options\SETUP.EXE"

"Debugger"=""C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUAUTOREACTIVATOR32.EXE""

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(15-6-2013 10:48:24 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\Drivers\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 8700

Nº Total de Ficheros: 64588

Nº de Ficheros Analizados: 24796

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(15-6-2013 10:50:58 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 411

Nº Total de Ficheros: 6831

Nº de Ficheros Analizados: 724

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-6-2013 10:55:38 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "E:\"

E:\MIRC.EXE --> Eliminado, mIRC(chat)

E:\PEN DRIVE 16GB\TEU\AutoPlay\Docs\Portables\ftp-P2p-Torrent\Torrent\UTORRENTT.EXE --> Eliminado, WindowsPolicePro



Nº Total de Directorios: 4581

Nº Total de Ficheros: 35584

Nº de Ficheros Analizados: 6632

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(15-6-2013 10:58:39 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 2971

Nº Total de Ficheros: 34404

Nº de Ficheros Analizados: 8283

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-6-2013 11:08:28 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 7703

Nº Total de Ficheros: 161817

Nº de Ficheros Analizados: 23873

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-6-2013 11:08:37 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "H:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 7

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-6-2013 11:11:08 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "I:\"

I:\descarga FIREFOX\Avira License Key 2015\AVIRA KEY.EXE --> Eliminado, Spy.Banker.BATS(pack)



Nº Total de Directorios: 983

Nº Total de Ficheros: 11048

Nº de Ficheros Analizados: 1346

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(15-6-2013 11:11:17 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "J:\"



Nº Total de Directorios: 11

Nº Total de Ficheros: 26

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-6-2013 11:12:06 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "R:\"



Nº Total de Directorios: 447

Nº Total de Ficheros: 3002

Nº de Ficheros Analizados: 705

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-6-2013 11:16:18 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "S:\"



Nº Total de Directorios: 6738

Nº Total de Ficheros: 82016

Nº de Ficheros Analizados: 1125

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-6-2013 11:20:29 (GMT))

EliStartPage v27.89 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 14 de Junio del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1647877149-1644491937-500

Cadenas Víricas: 19717



Lista de Acciones (por Exploración):

Explorando "T:\"



Nº Total de Directorios: 2250

Nº Total de Ficheros: 13291

Nº de Ficheros Analizados: 7238

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



*****************************************************************************

(15-6-2013 17:25:22 GMT)

SProces v7.2 (c)2013 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Parche MS10-046 (Exploit.CPLlink) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: DESKTOP

Usuario: Administrador

Sesión de Usuario: Administrador



37 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\ESAFE\EGDPSVC.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\SCHED.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVFWSVC.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AUTODESK SHARED\SERVICE\ADSKSCSRV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE7\BIN\JQS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUNEUPUTILITIESSERVICE32.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVGNT.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\TURBOLAUNCH\TURBOLAUNCH.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVCM.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVSHADOW.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVMAILC.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVWEBGRD.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2013\TUNEUPUTILITIESAPP32.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX11\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX11\PLUGIN-CONTAINER.EXE

I:\DESCARGA FIREFOX\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

O1 - Hosts: 127.0.0.1 secure.tune-up.com

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre7\bin\ssv.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre7\bin\jp2ssv.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - Startup: TurboLaunch.lnk = C:\Archivos de programa\TurboLaunch\TurboLaunch.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVSDA.DLL

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVSDA.DLL

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVSDA.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 10.21.2) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL (file missing)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

Clave "HKLM\...\Image File Execution Options\3dsmax.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\capture.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\connect.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\coreldrw.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\corelpp.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\earegister.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\fontnav.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\googleearth.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\m3gplayer.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\maxfind.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\nfs.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\plu26.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

Clave "HKLM\...\Image File Execution Options\setup.exe"

"Debugger"=""C:\Archivos de programa\TuneUp Utilities 2013\TUAutoReactivator32.exe""

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 457216 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Avira FireWall (AntiVirFirewallService) - Avira Operations GmbH & Co. KG - C:\Archivos de programa\Avira\AntiVir Desktop\avfwsvc.exe

O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Archivos de programa\Avira\AntiVir Desktop\avmailc.exe

O23 - Service: Avira Programador (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Archivos de programa\Avira\AntiVir Desktop\AVWEBGRD.EXE

O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avgntflt - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avgntflt.sys

O23 - Service: eSafe Service (eSafeSvc) - eSafe Security Co., Ltd. - C:\Documents and Settings\All Users\Datos de programa\eSafe\eGdpSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre7\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre7\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Archivos de programa\Skype\Updater\Updater.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Ambfilt - Creative - C:\WINDOWS\SYSTEM32\drivers\Ambfilt.sys

O23 - Service: AvFw Packet Filter Miniport (avfwim) - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avfwim.sys

O23 - Service: USB 2.0 Compliance JPEG Video Camera (CAM1690) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\cam1690.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: esgiguard - Unknown owner - C:\Archivos de programa\Enigma Software Group\SpyHunter\esgiguard.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys (file missing)

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller (L1c) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\l1c51x86.sys

O23 - Service: Monfilt - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\Monfilt.sys

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Archivos de programa\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys (file missing)

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: TuneUpUtilitiesDrv - Unknown owner - C:\Archivos de programa\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys (file missing)

O23 - Service: VirtualBox Host-Only Ethernet Adapter (VBoxNetAdp) - Oracle Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VBoxNetAdp.sys

O23 - Service: VBoxNetFlt Service (VBoxNetFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\VBoxNetFlt.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - F:\Archivos de programa\3dsMax9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - F:\Archivos de programa\EA Games\Need for Speed Undercover\PB\PnkBstrA.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe



43 Servicios.

14 de Carga Automatica.

21 de Carga Manual.

8 Deshabilitados.

*****************************************************************************

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: "CONDUIT" se reinstala

Mensaje por msc hotline sat » 15 Jun 2013, 19:49

En el infosat, vemos:



I:\descarga FIREFOX\Avira License Key 2015\AVIRA KEY.EXE --> Eliminado, Spy.Banker.BATS(pack)



Es que está pirateando el AVIRA ???



Si no es asi, que es esto de AVIRA KEY.EXE ???





y además, vemos que usa el TUNE UP, desinstalelo...



Y pasamos a analizar el log del SPROCES:







Pues vemos esta clave que puede eliminar:





O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL (file missing)





para ello, lanzar el SPROCES, pulsar en SCAN, marcar la clave indicada y seleccionar ELIMINAR







Aparte vemos estos ficheros dudosos:



corelpp.exe"

earegister.exe"

fontnav.exe"

m3gplayer.exe"

maxfind.exe





Con un Inicio -> Buscar, localizarlos y enviarnoslos para analizar



Para ello, recordar:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334





Tras recibirlos, los analizaremos e informaremos del resultado.



saludos



ms, 15-6-2013

Leguizamo
Mensajes: 3
Registrado: 14 Jun 2013, 13:30

Re: "CONDUIT" se reinstala

Mensaje por Leguizamo » 16 Jun 2013, 07:51

Hasta aquí llegó mi paciencia con el tema.

Voy reinstalar todo nuevamente... hace 3 años que no lo hago y evidentemente, se juntó mucha basura.

Lo que hubiere, desaparecerá con el formateo.

Gracias por el tiempo dispensado.

¡Saludos cordiales!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: "CONDUIT" se reinstala

Mensaje por msc hotline sat » 16 Jun 2013, 11:18

Pues a la vista de lo indicado, damos el Tema por solucionado y procedemos a cerrarlo



saludos



ms, 16-6-2013

Cerrado

Volver a “Foro Spyware”