Troyano Win32/Qozah. 3361

vladmartin · Mensaje por **vladmartin** » 21 Abr 2007, 17:11

Hola!

Me remito a ustedes porque mi antivirus eTrust me detecto un troyano (Win32/Qozah. 3361) q esta afectando a mi equipo. He intentado pasarle el antivirus pero parece q no logra desinfectar el archivo. Para ahorrar tiempo ya descargue el hijackthis y les adjunto el report. El troyano en cuestion esta localizado en un archivo en formato rar. Si descomprimo el archivo para poder mandarles muestra no empeorare las cosas no?

El mensaje de eTrust es el siguiente:

Se ha detectado el virus Win32/Qozah.3361 en H:\PROGRAMAS\PANDA ANTIVIRUS PLATINUM INTERNET SECURITY 8.03 SPANISH LICENCIA HASTA EL 30 12 2020.RAR<pavDll.dll>.

Equipo: DAMAGE_INC, Usuario: DAMAGE_INC\Vlad.

Estado de archivo: Infectados

El report de hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 16:12:26, on 21/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe

C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe

C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\DAEMON Tools SearchBar\Search.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\RunDll32.exe

C:\ARCHIV~1\CA\ETRUST~1\realmon.exe

C:\WINDOWS\Dit.exe

C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\Telefonica\bin\sprtcmd.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Spyware Doctor\swdsvc.exe

C:\Archivos de programa\Spyware Doctor\svcntaux.exe

C:\Archivos de programa\Spyware Doctor\sdtrayapp.exe

C:\Documents and Settings\Vlad\Mis documentos\Mis archivos recibidos\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Archivos de programa\DAEMON Tools SearchBar\search.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [AntivirusRegistration] C:\Archivos de programa\CA\Etrust Antivirus\Register.exe

O4 - HKLM\..\Run: [Realtime Monitor] C:\ARCHIV~1\CA\ETRUST~1\realmon.exe -s

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe"

O4 - HKLM\..\Run: [YeppStudioAgent] C:\Archivos de programa\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica

O4 - HKLM\..\Run: [SDTray] "C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://www.msn.es/

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138262241171

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138267141796

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe

O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe

O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe

Un saludo y espero puedan ayudarme

Increible!!!

He ejecutado la opcion de antivirus online de la pagina pandasoftware y mientras esta se efectuaba me ha aparecido otra ventanita de mi eTrust comentandome acerca de otra infeccion a tiempo real (o algo asi) acerca del panda active scan q se estaba ejecutando y es la siguiente:

Se ha detectado el virus Win32/Thorin.11932 en C:\WINDOWS\SYSTEM32\ACTIVESCAN\SET2E.TMP.

Equipo: DAMAGE_INC, Usuario: DAMAGE_INC\Vlad.

Estado de archivo: Infectados

No entiendo como en una pag oficial de un antivirus puede suceder esto. O acaso no era ningun virus?

Nuker · Mensaje por **Nuker** » 21 Abr 2007, 19:18

Lo que hara es enviar ese fichero .rar para su analisis lo envia como le indican aqui.

Como Enviar:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tambien envie una muestra de esta:

C:\WINDOWS\SYSTEM32\ACTIVESCAN\~~[b]~~SET2E.TMP[/b]

Una vez enviados nos confirma.

vladmartin · Mensaje por **vladmartin** » 21 Abr 2007, 19:43

Creo q no va a ser posible Nuker ya q el archivo pesa bastante. Concretamente 29 Mb. El archivo solo contiene un EXE y un TXT el troyano en cuestion debe formar parte de la aplicacion.

El archivo C:\WINDOWS\SYSTEM32\ACTIVESCAN\SET2E.TMP ahora no existe. No se q habra podido pasar al respecto.

En relacion al troyano teneis alguna informacion sobre sus actividades, es peligroso o algun cazapasswords...?

Desde que lo detecte e intente eliminarlo todo mi pc se ha ralentizado considerablemente y, no se si tendra algo q ver, pero el disco duro esta constantemente leyendo informacion, almenos haciendo el ruidito caracteristico de esta accion incluso cuando no estoy ejecutando ningun programa.

Tambien me gustaria comentaros q desde hace unos dias mi pc de repente se queda totalmente clavado, nada responde, ni raton, ni teclado, nada. Cuando reinicias a base de reset se queda bloqueado en la pantalla de "Intel" y no arranca. Al principio crei q se podria tratar de algun problema por sobrecalentamiento ya q al cabo del rato volvias a encender el pc y funcionaba con aparente normalidad. De hecho he descargado la utilidad Speedfan para medir y controlar las temperaturas de la torre pero no se observa nada anormal.

Ahora empiezo a sospechar q este sintoma se deba al virus. Es posible?

Nuker · Mensaje por **Nuker** » 21 Abr 2007, 20:08

Es un virus polimorfico que infecta ejecutables de Windows. Lo que hara es pasar este Antivirus Online en Modo Seguro con funciones de red.

AV ONline:

http://www.ca.com/us/securityadvisor/virusinfo/scan.aspx

O bien pase su antivirus actualizado en Modo Seguro. Y nos comenta.

Y pase tambien en Modo Seguro Elistara y Elitriip al terminar le crearan un log en Unidad C, con el nombre de infoSat.txt copia contenido y pega aqui.

Elistara:

http://www.zonavirus.com/descargas/elistara.asp

Elitriip:

http://www.zonavirus.com/descargas/elitriip.asp

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Nuker · Mensaje por **Nuker** » 21 Abr 2007, 20:08

vladmartin · Mensaje por **vladmartin** » 22 Abr 2007, 13:47

He pasado el Elistara, el Elitriip y el antivirus online que me recomendasteis. Ninguno de ellos encontro el troyano en cuestion.

El report de Elistara y Elitriip es el siguiente:

Sat Apr 21 18:25:48 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sat Apr 21 18:25:56 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Apr 21 18:31:14 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Exploración Detenida por el Usuario.

Sat Apr 21 18:31:49 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Sat Apr 21 18:31:53 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Sat Apr 21 18:31:55 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Sat Apr 21 18:31:57 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

Sat Apr 21 18:32:04 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\

Sun Apr 22 12:40:23 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Sun Apr 22 12:40:34 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

Sun Apr 22 12:40:42 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Sun Apr 22 12:40:46 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

Sun Apr 22 12:41:02 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Apr 22 12:42:46 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Apr 22 12:42:56 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

Sun Apr 22 12:43:12 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Sun Apr 22 12:43:19 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Sun Apr 22 12:44:47 2007

EliTriIP v3.49 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Apr 22 12:45:17 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Sun Apr 22 12:45:23 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Sun Apr 22 12:45:26 2007

EliStartPage v13.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Osea nada de nada.

El archivo en cuestion no me es imprescindible y podria borrarlo de mi sistema. Haciendolo solucionare el problema o es posible q se haya extendido a otros archivos y los haya infectado?

Ya comente a Nuker la imposibilidad de mandar muestra por el elevado tamaño del archivo.

Saludos

Mensaje por **msc hotline sat** » 22 Abr 2007, 22:26

ELIMINE ESTAS CLAVES:

O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Archivos de programa\DAEMON Tools SearchBar\search.dll

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 22-04-2007

nota: por otro lado, sobre el virus indicado al principio, esta es la informacion:

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?ID=32368

y sobre el otro:

http://www.ca.com/us/securityadvisor/pest/default.aspx?mode=scan&allwords=true&pst=win32%20thorin

vladmartin · Mensaje por **vladmartin** » 22 Abr 2007, 23:44

Como he efectuado algunos cambios y he desinstalado algunas aplicaciones y programas en desuso les agrego el nuevo report del hijackthis despues de haber eliminado las que me indicaron.

Con respecto al virus aun no he logrado eliminarlo ni con elistara ni elitriip ni con mi version de eTrust que es la unica que me lo detecta pero no lo elimina. El archivo en formato rar no lo he ejecutado y me es totalmente prescindible, si lo elimino solucionare el problema?

Con respecto al funcionamiento anormal de mi pc (conexiones a internet lentas, disco duro leyendo constantemente informacion, cuelgues en programas), es posible que sea debido a la infeccion?

Logfile of HijackThis v1.99.1

Scan saved at 22:53:54, on 22/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [AntivirusRegistration] C:\Archivos de programa\CA\Etrust Antivirus\Register.exe

O4 - HKLM\..\Run: [Realtime Monitor] C:\ARCHIV~1\CA\ETRUST~1\realmon.exe -s

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Home Cinema\PowerCinema\PCMService.exe"

O4 - HKLM\..\Run: [YeppStudioAgent] C:\Archivos de programa\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://www.msn.es/

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138262241171

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138267141796

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe

O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe

O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\ARCHIV~1\COMMON~1\X10\Common\x10nets.exe

Saludos y gracias por su ayuda

Mensaje por **msc hotline sat** » 23 Abr 2007, 19:44

Este servicio es sospechoso:

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

Envianod el fichero que lanza y lo analizaremos:

C:\WINDOWS\system32\sfrem01.exe

para ello recordar:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 23-04-2007