Problema con realsearch.cc (SOLUCIONADO)

mintas · Mensaje por **mintas** » 27 Nov 2007, 19:32

hola gente !! Exelente foro este....me ha sido de muchisima utilidad para solucionar problemas anteriores. Ahora por fin me registre..jaja..bueno en fin todo llega.!
Les comento cual es mi problema:

Cuando ingreso al google y realizo una busqueda, el link que deseo ver no me aparece, sino ke me redirecciona a realsearch.cc. y me aparece esto : "Relevant Google Links for..." lo mismo con el buscador de yahoo. Ahora estoy usando altavista.com ke se ve ke no lo perjudica, pero la info ke hay es muy inferior

El tema es que he buscado por todos lados solucion y muchos ke tienen el problema lo solucionan con hijackthis y borran
R0 - HKCU\Software\Microsoft\Internet Explorer ...bla bla bla= realserch.cc....

Yo hago un HJT y no me aparece nada de eso, ningun archivo del system32 malicioso de los ke dicen ke hay ke darle Killbox tampoco ( ke yo sepa ).

Les dejo un log del hjt a ver su encuentran algo :
Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\keyhook.exe
D:\programas\qttask.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Programas\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEHelper - {F3CFA533-7680-4943-A863-B8216390E847} - C:\WINDOWS\system32\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programas\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potg_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by14fd.bay14.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136482332630
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F90E77B8-9AB6-4D36-8E94-49C35D8A9A06}: NameServer = 69.50.188.178,69.31.80.244
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\comdl32.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Pase tambien el Nod32, el regseeker, y el AdAware y nada che!

Bueno espero puedan ayudarme con este problema.

Saludos
German

Mensaje por **msc hotline sat** » 27 Nov 2007, 19:52

Es un FAKE ALERT o falsa alerta que intenta hacer picar al usuario para que adquiera determinado antivirus:

http://alerta-antivirus.red.es/virus/de ... l?cod=5956

Voy a analizar tu log a ver

Hay estas claves sospechosas, pero no haga nada con ellas hasta que hayamos analizado los ficherosz que le pedimos al final

O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O4 - Startup: PowerReg Scheduler.exe

69.50.188.178 US United States CA California Concord 94520 38.0033 -122.0318 InterCage InterCage 807 925
69.31.80.244 US United States NY New York Brooklyn 40.6525 -73.9554 NLAYER COMMUNICATIONS Pilosoft 501 718

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\comdl32.exe

De entrada envienos estos ficheros para analizar:

C:\WINDOWS\trayicons.exe
c:\windows\system32\comdl32.exe

-> Para ello recordar: viewtopic.php?f=2&t=45334

Tras analizarlos, informaremos

saludos
ms, 27-11-2007

mintas · Mensaje por **mintas** » 27 Nov 2007, 20:40

Msc: Gracias por tu atencion en mi problema...ahi ya envie un mail con uno de los archivos solicitados. El otro ( comdl32.exe )no hubo forma de adjuntarlo .

Espero su respuesta favorable !!

Muchas Gracias

Saludos

Mensaje por **lucl** » 27 Nov 2007, 20:43

Que problema tuviste con el otro? No lo encontraste? Si lo encriptas con winrar o winzip no tiene porque darte problemas, puedes desactivar momentaneamente el antivirus para enviarlo. Y en el caso de hotmail aunque te da error se suele poder enviar, al menos yo si he podido. Comentanos cual fue el problema y te ayudamos, saludos

mintas · Mensaje por **mintas** » 27 Nov 2007, 20:58

lucl: ke tal !!

si lo encontre al archivo!!! ahi lo puede adjuntar a hotmail

Gracias Saludos

Mensaje por **lucl** » 27 Nov 2007, 21:05

Bien pues mañana cuando lo analicen te diran algo , estate atento al post, saludos

mintas · Mensaje por **mintas** » 27 Nov 2007, 21:08

ok muchas gracias!!!

Mensaje por **msc hotline sat** » 28 Nov 2007, 07:57

Ahora iré a la oficina, pero revisando el Tema, añado, en inicio hay :

PowerReg Scheduler.exe

y en :

C:\WINDOWS\System32\vbsys2.dll

enviarnos tambien muestra de los dos y los analizaremos, pues puede que no sean trigo limpio...

y estos DNS servers: 69.50.188.178,69.31.80.244
69.50.188.178 US United States CA California Concord 94520 38.0033 -122.0318 InterCage InterCage 807 925
69.31.80.244 US United States NY New York Brooklyn 40.6525 -73.9554 NLAYER COMMUNICATIONS Pilosoft 501 718

Eres consciente de que los usas ???

saludos
ms, 28-11-2007

Mensaje por **msc hotline sat** » 28 Nov 2007, 12:35

Hemos recibido aprovechable solo eñl TRAYICONS.EXE, pues el COMDL32 ha llegado a 0 bytes, posiblemente por no haberlo enviado empaquetado con password... y haber sido interceptado por el camino por algun servidor de internet

Para el primero hemos hecho la verison 15.15 del ELISTSRA, que subiremos a esta web antes de las 13 horas, EXCEPCIONALMENTE, debido a que ha habido urgencia de cliente y hemos tenido que compilar el ELISTARA con lo que ya teniamos hecho.

Si esta tarde nos envia el fichero COMDL32 y los demas que le pediamos a continuacion, pero tal como se indica en:

-> Para ello recordar: viewtopic.php?f=2&t=45334

los analizaremos y puede que hoy mismo (si los recibimos antes de las 16 h GMT) los implementemos en el 2º ELISTARA de hoy.

saludos
ms, 28-11-2007

mintas · Mensaje por **mintas** » 28 Nov 2007, 17:25

msc:

te comento los dns a continuacion:

69.50.188.178,69.31.80.244

""69.50.188.178 US United States CA California Concord 94520 38.0033 -122.0318 InterCage InterCage 807 925

69.31.80.244 US United States NY New York Brooklyn 40.6525 -73.9554 NLAYER COMMUNICATIONS Pilosoft 501 718 ""

La verdad no tengo ni idea de ke son. Uso el Emule no se si tendra algo ke ver... si no sirven decime como y los elimino

Estos dos a continuacion te los envio ahora.

PowerReg Scheduler.exe

C:\WINDOWS\System32\vbsys2.dll

El famoso "comdl32.exe" no lo puedo encriptar y comprimir con zip o rar no me permite...me dice ke otro programa/persona lo ejecuta y tengo todos cerrados.......la verdad no se ke decirte...voy a seguir intentando hasta el cansancio

evangelion_01 · Mensaje por **evangelion_01** » 28 Nov 2007, 17:44

intenta copiando el archivo, y pegandolo en otro lado, asi tendras 2, el segundo lo encriptas

mintas · Mensaje por **mintas** » 28 Nov 2007, 17:48

msc: me canse de buscar la forma de enviarle el archivo c:\windows\system32\comdl32.exe
y no hubo forma.
Le envie el PowerReg Scheduler.exe pero el C:\WINDOWS\System32\vbsys2.dll
no lo encuentro. Dejo pegado el nuevo log de HJT por las dudas

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\keyhook.exe
D:\programas\qttask.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Ahead\nero\nero.exe
C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\RMADEC.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Programas\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEHelper - {F3CFA533-7680-4943-A863-B8216390E847} - C:\WINDOWS\system32\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programas\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potg_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by14fd.bay14.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136482332630
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F90E77B8-9AB6-4D36-8E94-49C35D8A9A06}: NameServer = 69.50.188.178,69.31.80.244
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\comdl32.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

mintas · Mensaje por **mintas** » 28 Nov 2007, 17:52

evangelion:

Ni copiar me permite no me deja ni tocarlo.!!

me esta comiendo la cabeza!!! jaja

Saludos

evangelion_01 · Mensaje por **evangelion_01** » 28 Nov 2007, 17:53

intenta empaquetandolo en modo seguro a ver si sirve de algo

Mensaje por **msc hotline sat** » 28 Nov 2007, 18:00

Pues mira, elimina estas claves existan o no los ficheros:

O4 - Startup: PowerReg Scheduler.exe
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\comdl32.exe

Si existen, es posible que tras reiniciar los puedas ver y enviarnoslos, al no estar en uso, y sino, no sirven de nada las claves...

Y por cierto, mira que no esten ocultos:
viewtopic.php?f=5&t=13245

saludos
ms, 28-11-2007

mintas · Mensaje por **mintas** » 28 Nov 2007, 18:29

Msc:

69.50.188.178,69.31.80.244

Esta tambien la elimino ? si sos tan amable me dirias ke son y ke funcion cumplen

Mil Gracias..ahora me pongo a eliminar lo ke me dijistes !!

Saludos

mintas · Mensaje por **mintas** » 28 Nov 2007, 18:46

msc:

jaja una buena y una mala!!!!!

La buena...pude comprimir por fin el c:\windows\system32\comdl32.exe y lo estoy enviando

Y la mala es ke el HJT no me lo borra !!!

Disculpen mi torpeza seguramente algo mal debo estar haciendo!!!

Saludos!!!

Gracias

Mensaje por **msc hotline sat** » 28 Nov 2007, 19:14

En primer lugar decirte como se borran las claves:

-> Para ello recordar: viewtopic.php?f=2&t=45334

y en segundo lugar, si no las puedes borrar es porque estan en uso, ergo los ficheros existen ...

Buscalos con un Inicio -> Buscar y si asi no los ves, recuerda:

viewtopic.php?f=5&t=13245

Caso extremo, que tuvieras un Rootkit iquelos ocultara procede con lo que indicamos en:

viewtopic.php?f=5&t=22411

pero no creo, porque las claves no estan ocultas..., simplemente los ficheros deben tener atributo H o S.

saludos
ms, 28.11.2007

mintas · Mensaje por **mintas** » 28 Nov 2007, 22:00

MSC:

69.50.188.178,69.31.80.244

Esta tambien la elimino ?

Para el otro "comdl32.exe" puedo usar el killbox ?

Gracias

Saludos

Mensaje por **msc hotline sat** » 29 Nov 2007, 07:45

Corresponden a
69.50.188.178 US United States CA California Concord 94520 38.0033 -122.0318 InterCage InterCage 807 925
69.31.80.244 US United States NY New York Brooklyn 40.6525 -73.9554 NLAYER COMMUNICATIONS Pilosoft 501 718

No nos constan como maliciosas, a ver qué dice el Google de cada una:
69.50.188.178
69.31.80.244

Pues nada en concreto, solo que donde está una está otra. Si no las conoces tú...

Y para el comdl32.exe espera que lo analicemos y ya informaremos

saludos
ms, 29-11-2007

Mensaje por **msc hotline sat** » 29 Nov 2007, 13:30

Recibido el fichero, entra en proceso de analisis y monitorizacion, como que McAfee lo detecta como TCADCRYPTED, pasamos a adoptar este nombre e incluimos su control y eliminacion en el ELISTARA de hoy, que lo controlará y deshará todo lo que veamos que haga.

Seguiremos informando

saludos

ms, 29-11-2007

mintas · Mensaje por **mintas** » 29 Nov 2007, 14:55

msc:

Muchas Gracias .

Igualmente sigo con el problemilla!!! elimine todo lo que me dijeron, menos comdl32.exe ke estoy a la espera de vuestra resolucion

Saludos

Mensaje por **msc hotline sat** » 29 Nov 2007, 15:17

Este fichero se analizará esta tarde, y mientras, como que hemos visto que McAfee lo detecta como virus, ahora sí que puedes eliminarlo, y nosotros en el ELISTSRA ya pondremos la eliminacion de las claves que haga falta

A ver si con esto acaba tu pesadilla !

Y los servidores de DNS son las webs que se utilizan para traducir las URL a IP, y asi llegar hasta ellas navegando, ya que lop digo asi, decir que quieres ir a New York en barco, sin saber su latitud y longitud, te va a costar, mientras que si algo te la dice, ya solo tienes que enfocar allí, pues este algo, en Internet, son los servidores de DNS que, dado el nombre de una web, te indican su IP.

Pero las hay maliciosas, y pueden llevarte al huerto...

Estas no se qué son, solo veo que son americanas ???

saludos

ms, 29-11-2007

mintas · Mensaje por **mintas** » 29 Nov 2007, 20:01

Muchisimas gracias en breve estare eliminando el famoso comdl32.exe con el killbox a ver ke pasa.

Cita:

"....y nosotros en el ELISTSRA ya pondremos la eliminacion de las claves que haga falta..."

Esperare con ansias.

Saludos

Mensaje por **msc hotline sat** » 29 Nov 2007, 21:31

Y si no lo consiguieres con el KILLBOX, la solucion definitiva es arrancar en consola de recuperacion, con el CD de instalacion, y asi acceder a c:\windows\system32\comdl32.exe y borrarlo

saludos

ms, 29-11-2007

mintas · Mensaje por **mintas** » 03 Dic 2007, 16:23

Msc:

Igualmente sigo con el problema!!! elimine todo lo que me dijeron, incluso el comdl32.exe.
Les dejo el log de HJT a ver si detectan algo.
Ahh...eso si... una diferencia en la pagina de realsearch me aparecio.
Ahora es mas bonita y con mas detalles !!jaja

Saludos y Gracias

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\keyhook.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Programas\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEHelper - {F3CFA533-7680-4943-A863-B8216390E847} - C:\WINDOWS\system32\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programas\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potg_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by14fd.bay14.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136482332630
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F90E77B8-9AB6-4D36-8E94-49C35D8A9A06}: NameServer = 69.50.188.178,69.31.80.244
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\comdl32.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

mintas · Mensaje por **mintas** » 03 Dic 2007, 16:43

msc:

un detalle no menor....cuando navego con el Firefox no tengo este problema.

Saludos

Mensaje por **msc hotline sat** » 03 Dic 2007, 17:47

Utilizan procesos diferentes y no les afectan los mismos malwares, es logico lo que dices.

Pero ya vemos en el log que tienes una clave del TRAYICON, considerado maliciosos, de la familia del WinAntivirusPro, elimina esta clave:

O4 - HKCU\..\Run: [StartUp] C:\WINDOWS\trayicons.exe /optimize speed

Tambien conviene eliminar esta clave, lo cual podrás hacer si ya has eliminado el fichero que usa:

23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\comdl32.exe (file missing)

Y por ultimo los DNS Servers son maliciosos, segun CA, las implanta este malware:

Win32/Netmesser Family
Date Published:
22 Nov 2005

Last Updated:
25 Jun 2007
Threat Assessment

Overall Risk: Very Low
Wild: Low
Destructiveness: Medium
Pervasiveness: None Characteristics
Type: Trojan

Category: Win32

Also known as: AdClicker-BM (McAfee), Troj/DNSBust-A (Sophos), Troj/DNSBust-B (Sophos), Win32/DNSChanger.9725!Trojan, Win32/DNSChanger.9825!Trojan, Trojan.Flush.A (Symantec), Trojan.Flush.B (Symantec), Trojan.Flush.D (Sophos), TROJ_NETMESS.A (Trend), Win32.Netmesser.A, Win32/Netmesser.A!Trojan, Win32.Netmesser.B, Win32/Netmesser.B!Trojan, Win32.Netmesser.C, Win32/Netmesser.C!Trojan, Win32.Netmesser.D, Win32/Netmesser.D!Trojan, Win32.Netmesser.E, Win32.Netmesser.F, Win32.Netmesser.G, Win32.Netmesser.H, Win32/Netmesser.H!Trojan, Win32.Netmesser.I, Win32/Netmesser.I!Trojan, Win32.Netmesser.J, Win32.Netmesser.K, SpoofDNS (McAfee), Trojan.Win32.DNSChanger.a (Kaspersky), Trojan.Win32.DNSChanger.d (Kaspersky), Trojan.Win32.DNSChanger.e (Kaspersky), Trojan.Win32.DNSChanger.f (Kaspersky), Trojan.Win32.DNSChanger.g (Kaspersky), Trojan.Win32.DNSChanger.h (Kaspersky), Trojan.Win32.DNSChanger.k (Kaspersky), Trojan.Win32.DNSChanger.m (Kaspersky), Trojan.Win32.DNSChanger.p (Kaspersky)

Immediate Protection Info

This threat is detected by the latest signature updates

Tools Download signature files

Scan for viruses
Submit a Virus Sample

Description
Payload

Description
Win32.Netmesser is a family of trojans which overwrite Internet settings associated with dial-up connections.

Back to top
Payload

Alters DNS Settings
On Windows XP systems, the trojan alters the file:

%AppData%\Microsoft\Network\Connections\Pbk\rasphone.pbk

by changing the following lines:

IpDnsAddress=<Altered DNS>
IpDns2Address=<Altered DNS>

It then enumerates the following registry entry:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters

checking for references to dial up adapters. If found, the adapters' DNS servers are changed by altering the value 'NameServer' in the referenced key.

Note: %AppData% is a variable location and refers to the location of the common folder that stores application specific data. The malware determines the location of the current AppData folder by querying the operating system. A typical location for this folder is C:\Documents and Settings\username\Application Data

On Windows 98 systems the trojan makes the following registry modification:

HKLM\System\CurrentControlSet\Services\VxD\MSTCP\NameServer = <Altered DNS servers>

After the trojan has made the relevant operating system dependent changes, it then runs the command:

"ipconfig /flushdns"

to ensure that the settings will take immediate effect.

A Domain Name Server holds lists of domain names that map to matching IP addresses. Hence, when a user requests a particular domain, say, ca.com, the user's machine queries the DNS, which will return the appropriate numerical, IP address (in this example, say, 155.35.248.73). By redirecting user requests to a DNS server that contains false or incorrect mappings, an attacker can therefore redirect the user to other sites of their choice whenever a user requests a domain that is listed in the DNS. In application, for example, even if a user types the URL of their Internet Banking site into their browser they could be redirected to a spoofed site with a completely different IP address and be unaware of this subterfuge.The altering of DNS servers may also allow for the tracking of sites visited.

Computer Associates have seen the following DNS server IPs used by these trojans in the wild:

69.50.166.94
69.50.188.180
69.31.80.244
195.225.176.31
69.50.176.156
69.50.176.196
195.225.176.37
69.50.184.84
69.31.80.244
69.50.166.94

Later variants of this family may also attempt to check the dialing prefix of the compromised machine. In these cases, when the trojan is run, it checks a list of dialing prefixes that it carries within its code, and exits if the current country is found to match any entries on the list.

Una vez eliminados los restos indicados, reinicia y cuentanos el resultado, gracias

saludos
ms, 3-12-2007

mintas · Mensaje por **mintas** » 03 Dic 2007, 19:43

msc:

pude eliminar todo menos esto:
23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\comdl32.exe (file missing)

Sigo con el problema.

Cuando me posisiono con el raton sobre un link en google en la barra de estado de abajo me aparece ke me va a direccionar ( en cualkier link ke me posicione ) a:
http://85.255.120.28/index2.php?tpl=thumbs&q=musica

LOG HJT:

Código: Seleccionar todo

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEHelper - {F3CFA533-7680-4943-A863-B8216390E847} - C:\WINDOWS\system32\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programas\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potg_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by14fd.bay14.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136482332630
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\comdl32.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

mintas · Mensaje por **mintas** » 03 Dic 2007, 19:44

msc:

pude eliminar todo menos esto:
23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\comdl32.exe (file missing)

Sigo con el problema.

Cuando me posisiono con el raton sobre un link en google en la barra de estado de abajo me aparece ke me va a direccionar ( en cualkier link ke me posicione ) a:
http://85.255.120.28/index2.php?tpl=thumbs&q=musica

LOG HJT:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEHelper - {F3CFA533-7680-4943-A863-B8216390E847} - C:\WINDOWS\system32\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programas\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potg_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by14fd.bay14.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136482332630
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\comdl32.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe