Mensaje
por msc hotline sat » 02 Sep 2008, 11:36
Parece que en lugar de postearlos aqui, los has enviado a SATINFO, a donde solo se deben enviar muestras de ficheros sospechosos, segun ya indicamos:
https://foros.zonavirus.com/viewtopic.php?f=1&t=17488
Como que he podido salvar dichos ficheros antes de que los enviaran a la papelera, los posteo yo, sin que sirva de precedente !!!
el INFOSAT.TXT:
[quote] Mon Sep 01 21:03:11 2008
EliStartPage v16.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v16.85
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE --> Eliminado
C:\WINDOWS\SYSTEM32\LECHUCK.HTA --> Eliminado (Fichero Complementario).
C:\Documents and Settings\Administrador\Favoritos\Online Security Test.url --> Eliminado (Fichero Complementario).
Eliminada Class, "{147A976E-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1
Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1
Eliminada Carpeta "%Archivos de Programa%\Passware"
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Sep 01 21:04:07 2008
EliStartPage v16.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\EASY CD-DA EXTRACTOR.EXE --> Eliminado, Lechuck
C:\Archivos de programa\Abdaleon Utilities\ABDALEONUTILITIES.EXE --> Eliminado, Spy.Banker.FJB
C:\Archivos de programa\Archivos comunes\element5 Shared\Service\LICENCE MANAGER ESD.EXE --> Eliminado, Boonty Games
C:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D
C:\Archivos de programa\Daxter Creator\update\EZUPDATE.EXE --> Eliminado, EasyUpdate
C:\Archivos de programa\DkZ Studio\Update\DKZUPDATE.EXE --> Eliminado, P2PAdware.A
C:\Archivos de programa\GameSpy Arcade\Services\_common\PORTRAITLOADER.DLL --> Eliminado, GameSpyArcade
C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus
C:\Documents and Settings\Administrador\Escritorio\juegos\100CD2\Realtek_AC97\Ap\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D
C:\Documents and Settings\Usuario\Configuración local\Temp\SINTF32.DLL --> Eliminado, Spy-CmdLineExt
C:\Documents and Settings\Usuario\Configuración local\Temp\SINTFNT.DLL --> Eliminado, Spy-CmdLineExt
C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Eliminado, Spy-CmdLineExt
Nº Total de Directorios: 11521
Nº Total de Ficheros: 139856
Nº de Ficheros Analizados: 27268
Nº de Ficheros Infectados: 12
Nº de Ficheros Limpiados: 12[/quote]
Donde se te pide que nos envies muestra de este fichero:
Por favor, envienos una muestra del fichero
C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v16.85
eso si que has de enviarlo a SATINFO !!!:
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Y el SPROCLOG:
[quote]Mon Sep 01 21:47:04 2008
SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows 2000 (v5.0.2600) Service Pack 2
Internet Explorer: (v7.0.5730.13) 0
Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM32\WGATRAY.EXE
C:\WINDOWS\SYSTEM32\CONFIG\TEMP\MSCACHE\INET\NETINT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT PRIVATE FOLDER 1.0\PRFLDSVC.EXE
C:\SYSTEM VOLUME INFORMATION\RADMIN.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\MIS ARCHIVOS RECIBIDOS\DC1242.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB7801] command /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4674] cmd /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB342] command /c del "C:\Documents and Settings\Administrador\Favoritos\Online Security Test.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6219] cmd /c del "C:\Documents and Settings\Administrador\Favoritos\Online Security Test.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingB628] command /c del "C:\Archivos de programa\Online Video Add-on\ts.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1654] cmd /c del "C:\Archivos de programa\Online Video Add-on\ts.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingB193] command /c del "C:\Archivos de programa\VideoKeyCodec\uninst.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6493] cmd /c del "C:\Archivos de programa\VideoKeyCodec\uninst.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3420] command /c del "C:\Archivos de programa\iVideoCodec\ot.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8724] cmd /c del "C:\Archivos de programa\iVideoCodec\ot.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9514] command /c del "C:\Archivos de programa\iVideoCodec\ts.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4155] cmd /c del "C:\Archivos de programa\iVideoCodec\ts.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3375] command /c del "C:\Archivos de programa\VideoKeyCodec\ot.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7182] cmd /c del "C:\Archivos de programa\VideoKeyCodec\ot.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9173] command /c del "C:\Archivos de programa\VideoKeyCodec\ts.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9672] cmd /c del "C:\Archivos de programa\VideoKeyCodec\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6790] command /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2301] cmd /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA285] command /c del "C:\Documents and Settings\Administrador\Favoritos\Online Security Test.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3657] cmd /c del "C:\Documents and Settings\Administrador\Favoritos\Online Security Test.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1727] command /c del "C:\Archivos de programa\Online Video Add-on\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3931] cmd /c del "C:\Archivos de programa\Online Video Add-on\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6123] command /c del "C:\Archivos de programa\VideoKeyCodec\uninst.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC612] cmd /c del "C:\Archivos de programa\VideoKeyCodec\uninst.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7170] command /c del "C:\Archivos de programa\iVideoCodec\ot.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3341] cmd /c del "C:\Archivos de programa\iVideoCodec\ot.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9563] command /c del "C:\Archivos de programa\iVideoCodec\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC565] cmd /c del "C:\Archivos de programa\iVideoCodec\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3643] command /c del "C:\Archivos de programa\VideoKeyCodec\ot.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC239] cmd /c del "C:\Archivos de programa\VideoKeyCodec\ot.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1345] command /c del "C:\Archivos de programa\VideoKeyCodec\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4874] cmd /c del "C:\Archivos de programa\VideoKeyCodec\ts.ico"
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
O16 - DPF: {CAFEEFAC-0014-0002-0015-ABCDEFFEDCBA} (Java Plug-in 1.4.2_15) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_11) - http://java.sun.com/products/plugin/autodl/jinstall-150-windows-i586.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll
Información Adicional:
----------------------
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Vcs support (Vcs) - Unknown owner - C:\WINDOWS\system32\Drivers\Vcs.sys
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Socks-Cap (Sc32Inch) - Unknown owner - C:\WINDOWS\Sc32Inch.exe (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - c:\system volume information\radmin.exe (file missing)
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: Prvflder - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\prvflder.sys
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Archivos de programa\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Network Interface (netint) - Unknown owner - C:\WINDOWS\system32\config\temp\mscache\inet\netint.exe
O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: CdaC15BA - Unknown owner - C:\WINDOWS\system32\drivers\CDAC15BA.SYS
O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys
O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.4.3.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys
O23 - Service: vaxscsi - Unknown owner - C:\WINDOWS\System32\Drivers\vaxscsi.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe (file missing)
O23 - Service: STIrUsb.sys USB-IrDA Adapter (STIrUsb) - SigmaTel, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\irstusb.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Linksys Home Wireless-G USB Adapter Driver (RT73) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\rt73.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: PortTalk - Beyond Logic http://www.beyondlogic.org - C:\WINDOWS\SYSTEM32\drivers\PortTalk.sys
O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys
O23 - Service: Motorola USB Device (P2k) - Motorola Inc - C:\WINDOWS\SYSTEM32\DRIVERS\P2k.sys
O23 - Service: D-Link VGA Webcam (ovt519) - OmniVision Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ov519vid.sys
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: npkcrypt - Unknown owner - C:\Archivos de programa\Lineage II\System\npkcrypt.sys (file missing)
O23 - Service: Nokia USB Modem (nmwcdcm) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcm.sys
O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdc.sys
O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcd.sys
O23 - Service: Motorola SurfBoard USB Cable Modem Windows 2000 Driver (ndiscm) - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NetMotCM.sys
O23 - Service: Motorola USB CDC ACM Driver (motmodem) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motmodem.sys
O23 - Service: Motorola Inc. USB Device (MotDev) - Motorola Inc - C:\WINDOWS\SYSTEM32\DRIVERS\motodrv.sys
O23 - Service: Logitech Mouse Class Filter Driver (LMouFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\Drivers\LMouFlt2.sys
O23 - Service: LibUsb-Win32 - Kernel Driver 11/20/2005, 20051120 (libusb0) - http://libusb-win32.sourceforge.net - C:\WINDOWS\SYSTEM32\DRIVERS\libusb0.sys
O23 - Service: Logitech USB Receiver device driver (LHidUsb) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\Drivers\LHidUsb.Sys
O23 - Service: Logitech HID/USB Mouse Filter Driver (LHidFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LHidFlt2.Sys
O23 - Service: Logitech USB Filter Driver (LCcfltr) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\Drivers\LCcFltr.Sys
O23 - Service: Logitech PS/2 Mouse Filter Driver (L8042PR2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\Drivers\l8042pr2.sys
O23 - Service: jatmlano - Unknown owner - C:\DOCUME~1\Usuario\CONFIG~1\Temp\jatmlano.sys
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: HWIONT - The freeware company - C:\Documents and Settings\Usuario\Escritorio\LS2\HWIONT.sys
O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys
O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWBS2.sys
O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys
O23 - Service: ElbyDelay - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys
O23 - Service: EagleNT - Unknown owner - C:\WINDOWS\system32\drivers\EagleNT.sys (file missing)
O23 - Service: dtscsi - Unknown owner - C:\WINDOWS\System32\Drivers\dtscsi.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys
O23 - Service: Bluetooth LAN Access Server (BTWDNDIS) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys (file missing)
O23 - Service: Bluetooth Virtual Communications Driver (BTDriver) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys (file missing)
O23 - Service: Bluetooth Audio (BtAudio) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btaudio.sys (file missing)
O23 - Service: Advanced SCSI Programming Interface Driver (ASPI) - Adaptec - C:\WINDOWS\System32\DRIVERS\ASPI32.sys
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS
O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys
Listado de Servicios (Deshabilitados):
--------------------------------------
O23 - Service: WUSB54GCSVC - Unknown owner - C:\Archivos de programa\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe" "WUSB54GC.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe
O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Archivos de programa\Archivos comunes\element5 Shared\Service\Licence Manager ESD.exe (file missing)
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
71 Servicios.
15 de Carga Automatica.
44 de Carga Manual.
12 Deshabilitados.[/quote]
A lo cual cabe indicar ante todo que le faltan parches básicos, solo tiene el SP2 y el W2000 debe tener de antaño instalado hasta el SP4. LANCE UN WINDOWSUPDATE Y ACTUALICE !!!
Y además vemos estos ficheros sospechosos:
C:\WINDOWS\SYSTEM32\CONFIG\TEMP\MSCACHE\INET\NETINT.EXE
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\System32\Drivers\dtscsi.sys
C:\DOCUME~1\Usuario\CONFIG~1\Temp\jatmlano.sys
C:\WINDOWS\System32\Drivers\vaxscsi.sys
enviarnoslos para analizar, y especialmente estos dos :
C:\WINDOWS\system32\drivers\svchost.exe
y
C:\DOCUME~1\Usuario\CONFIG~1\Temp\jatmlano.sys
ademas de enviarnoslos, renombrarles la extension a .VIR para que, tras reiniciar, no se pongan en uso
y estas claves muy sospechosas , diganos si las conoce de algo, y si no las elimina:
O4 - HKCU\..\RunOnce: [SpybotDeletingB7801] command /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4674] cmd /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB342] command /c del "C:\Documents and Settings\Administrador\Favoritos\Online Security Test.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6219] cmd /c del "C:\Documents and Settings\Administrador\Favoritos\Online Security Test.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingB628] command /c del "C:\Archivos de programa\Online Video Add-on\ts.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1654] cmd /c del "C:\Archivos de programa\Online Video Add-on\ts.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingB193] command /c del "C:\Archivos de programa\VideoKeyCodec\uninst.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6493] cmd /c del "C:\Archivos de programa\VideoKeyCodec\uninst.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3420] command /c del "C:\Archivos de programa\iVideoCodec\ot.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8724] cmd /c del "C:\Archivos de programa\iVideoCodec\ot.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9514] command /c del "C:\Archivos de programa\iVideoCodec\ts.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4155] cmd /c del "C:\Archivos de programa\iVideoCodec\ts.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3375] command /c del "C:\Archivos de programa\VideoKeyCodec\ot.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7182] cmd /c del "C:\Archivos de programa\VideoKeyCodec\ot.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9173] command /c del "C:\Archivos de programa\VideoKeyCodec\ts.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9672] cmd /c del "C:\Archivos de programa\VideoKeyCodec\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6790] command /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2301] cmd /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA285] command /c del "C:\Documents and Settings\Administrador\Favoritos\Online Security Test.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3657] cmd /c del "C:\Documents and Settings\Administrador\Favoritos\Online Security Test.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1727] command /c del "C:\Archivos de programa\Online Video Add-on\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3931] cmd /c del "C:\Archivos de programa\Online Video Add-on\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6123] command /c del "C:\Archivos de programa\VideoKeyCodec\uninst.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC612] cmd /c del "C:\Archivos de programa\VideoKeyCodec\uninst.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7170] command /c del "C:\Archivos de programa\iVideoCodec\ot.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3341] cmd /c del "C:\Archivos de programa\iVideoCodec\ot.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9563] command /c del "C:\Archivos de programa\iVideoCodec\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC565] cmd /c del "C:\Archivos de programa\iVideoCodec\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3643] command /c del "C:\Archivos de programa\VideoKeyCodec\ot.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC239] cmd /c del "C:\Archivos de programa\VideoKeyCodec\ot.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1345] command /c del "C:\Archivos de programa\VideoKeyCodec\ts.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4874] cmd /c del "C:\Archivos de programa\VideoKeyCodec\ts.ico"
saludos
ms, 2 de Setiembre de 2008
msc hotline sat Virus Research Engineer 
