Troyano? Virus? secuestrador de programas? (SOLUCIONADO)

carlos20071 · Mensaje por **carlos20071** » 07 May 2009, 19:40

Hola a todos

Explico lo que le pasa a mi portatil. Desde hace una semana vengo observando que el antivirus que tengo, Norman, no se inicia al encender el ordenador tambien a desaparecido el icono de la barra de herramientas y no puedo desplegar las opciones que tiene, configuracion, estado de actualizacion......

Lo desinstale y lo instale de nuevo y lo mismo, no tengo control sobre el.

Tengo el programa Superantispyware instalado y lo puse en marcha, para mi sorpresa detecto 4 troyanos en los 5 primeros minutos, pero en el minuto 11 sale un pantallazo azul y seguidamente se reinicia el ordenador.

Esto lo hace cada vez que que pongo en marcha el Superantispyware, sin embargo en modo seguro funciona perfectamente.

Le he pasado tambien el Malwarebytes y este si que escanea de principio a fin, detecto un monton de troyanos que ahora estan en cuarentena.

Tambien le pase el CCleaner.

Ayer descargue el Hijackthis solamente para hacer una comprobacion, apague el ordenador y esta tarde lo he vuelto a encender y no me dejaba ejecutarlo.

Otra vez a descargar el programa y no me dejaba tampoco, he pasado el Malwarebytes y ha detectado otra vez troyanos, pudiendo asi ejecutarlo.

Aqui dejo el informe y muchas gracias por la atencion

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:39:00, on 07/05/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Norman\Npm\Bin\Elogsvc.exe

C:\WINDOWS\system32\acs.exe

C:\WINDOWS\system32\spoolsv.exe

c:\archivos de programa\archivos comunes\logishrd\lvmvfm\LVPrcSrv.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Archivos de programa\802.11 WLAN\ACU.exe

C:\Archivos de programa\Acronis\TrueImage\TrueImageMonitor.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe

C:\Archivos de programa\Logitech\QuickCam10\QuickCam10.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\LVComSX.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\Archivos de programa\Archivos comunes\Logishrd\LQCVFX\COCIManager.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcrobatInfo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://%20google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [PowerManager] C:\Archivos de programa\Power Manager\PM.exe

O4 - HKLM\..\Run: [ACU] "C:\Archivos de programa\802.11 WLAN\ACU.exe" -nogui

O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Archivos de programa\Acronis\TrueImage\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\QuickCam10\QuickCam10.exe" /hide

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper200711281.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: 802.11 WLAN Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe (file missing)

O23 - Service: Servicio de transferencia inteligente en segundo plano (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Norman eLogger service 6 (eloggersvc6) - Norman ASA - C:\Archivos de programa\Norman\Npm\Bin\Elogsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\archivos de programa\archivos comunes\logishrd\lvmvfm\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: Servicio del número de serie de medio portátil WmdmPmSNWmiApSrv (WmdmPmSNWmiApSrv) - Unknown owner - C:\WINDOWS\system32\adsmsextg.exe

O23 - Service: Actualizaciones automáticas (wuauserv) - Unknown owner - C:\WINDOWS\

--

End of file - 9963 bytes

julibaga · Mensaje por **julibaga** » 07 May 2009, 20:18

Yo te diría que de entrada desinstales el Ares.

Luego bájate las siguientes utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

[url=http://www.zonavirus.com/descargas/elibagla.asp]Elibagla[/url]

Las ejecutas de una en una y cuando terminen abres el archivo ~~[b]~~c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.

Si pide el [url=http://www.zonavirus.com/descargas/elinotifdll.asp]Elinotif.dll[/url], copiar dicho fichero en la misma carpeta que el Elistara.exe, el cual utilizará si lo necesita.

Y para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del ~~[b]~~c:\sproclog.txt[/b] con un copiar y pegar.

Mensaje por **msc hotline sat** » 07 May 2009, 21:21

Pues envianos este fichero sospechoso para analizar:

C:\WINDOWS\system32\adsmsextg.exe

y mientras añade .VIR a su extension para que tras reiniciar no se ponga en marcha.

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 7-5-2009

carlos20071 · Mensaje por **carlos20071** » 08 May 2009, 11:11

Gracias por la ayuda

¿Que hago primero, lo que dice julibaga o msc hotline sat?

Mensaje por **msc hotline sat** » 08 May 2009, 11:21

No creo que las utilidades lo conozcan ya, pero primero haz lo que indica julibaga, y si persiste el fichero del que te pedimos muestra, envianosla.

Eso lo veremos en el c:\infosat.txt que te pedimos postear.

De todas formas si lo haces al reves no pasa nada, total si ya lo controlamos, te lo diremos y listos.

saludos

ms, 8-5-2009

carlos20071 · Mensaje por **carlos20071** » 08 May 2009, 22:03

He enviado las muestras, ya que son demasiado grandes, gracias

Mensaje por **lucl** » 08 May 2009, 22:18

Puedes subirlas tambien a analizar a virustotal para un analisis previo y ver de que se trata. Nos pegas el log resultante saludos

www.virustotal.com/es

carlos20071 · Mensaje por **carlos20071** » 09 May 2009, 00:17

Este es el blog de Infosat realizado a traves de virustotal:

Análisis del archivo InfoSat.zip recibido el 09.05.2009 00:04:06 (CET)Motor antivirus Versión Última actualización Resultado

a-squared 4.0.0.101 2009.05.08 -

AhnLab-V3 5.0.0.2 2009.05.08 -

AntiVir 7.9.0.166 2009.05.08 -

Antiy-AVL 2.0.3.1 2009.05.08 -

Authentium 5.1.2.4 2009.05.08 -

Avast 4.8.1335.0 2009.05.08 -

AVG 8.5.0.327 2009.05.08 -

BitDefender 7.2 2009.05.08 -

CAT-QuickHeal 10.00 2009.05.08 -

ClamAV 0.94.1 2009.05.08 -

Comodo 1157 2009.05.08 -

DrWeb 5.0.0.12182 2009.05.08 -

eSafe 7.0.17.0 2009.05.07 -

eTrust-Vet 31.6.6497 2009.05.08 -

F-Prot 4.4.4.56 2009.05.08 -

F-Secure 8.0.14470.0 2009.05.08 -

Fortinet 3.117.0.0 2009.05.08 -

GData 19 2009.05.08 -

Ikarus T3.1.1.49.0 2009.05.08 -

K7AntiVirus 7.10.729 2009.05.08 -

Kaspersky 7.0.0.125 2009.05.09 -

McAfee 5609 2009.05.08 -

McAfee+Artemis 5609 2009.05.08 -

McAfee-GW-Edition 6.7.6 2009.05.08 -

Microsoft 1.4602 2009.05.08 -

NOD32 4063 2009.05.08 -

Norman 6.01.05 2009.05.08 -

nProtect 2009.1.8.0 2009.05.08 -

Panda 10.0.0.14 2009.05.08 -

PCTools 4.4.2.0 2009.05.07 -

Prevx 3.0 2009.05.09 -

Rising 21.28.41.00 2009.05.08 -

Sophos 4.41.0 2009.05.08 -

Sunbelt 3.2.1858.2 2009.05.08 -

Symantec 1.4.4.12 2009.05.08 -

TheHacker 6.3.4.1.323 2009.05.08 -

TrendMicro 8.950.0.1092 2009.05.08 -

VBA32 3.12.10.4 2009.05.08 -

ViRobot 2009.5.8.1725 2009.05.08 -

VirusBuster 4.6.5.0 2009.05.08 -

Información adicional

Tamano archivo: 101259 bytes

MD5...: 3fa0db2c1f227684c3223a4640ceb431

SHA1..: 3fff11a597f9cfd5e74778868a69d2e98fa4e47b

SHA256: 909c440fa3fa5f5f413a194e884c2016aa5c1be6d78493016599c649f34cdda6

SHA512: 8251a0a9db4a52f9c62b5f2c1ce04b1fb5004261383e892ca00b67f0154fb687 0ba2e544bbeb093f8d5147a77f76b6808a4f9851adbaca1f0f854dcdbc8924d7

ssdeep: 1536:/i7PoLfFf7mNwht+t9QbY2Wzb7aVqDUJLg7t/M+qsL2IgOYBReMuWQ3OirU UHZrT:U0KNet+t9Q7Wz1DUJYt/T2rfR83OM5P 

PEiD..: -

TrID..: File type identification ZIP compressed archive (100.0%)

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set -

Motor antivirus Versión Última actualización Resultado

Información adicional

Tamano archivo: 101259 bytes

MD5...: 3fa0db2c1f227684c3223a4640ceb431

SHA1..: 3fff11a597f9cfd5e74778868a69d2e98fa4e47b

SHA256: 909c440fa3fa5f5f413a194e884c2016aa5c1be6d78493016599c649f34cdda6

SHA512: 8251a0a9db4a52f9c62b5f2c1ce04b1fb5004261383e892ca00b67f0154fb687 0ba2e544bbeb093f8d5147a77f76b6808a4f9851adbaca1f0f854dcdbc8924d7

ssdeep: 1536:/i7PoLfFf7mNwht+t9QbY2Wzb7aVqDUJLg7t/M+qsL2IgOYBReMuWQ3OirU UHZrT:U0KNet+t9Q7Wz1DUJYt/T2rfR83OM5P 

PEiD..: -

TrID..: File type identification ZIP compressed archive (100.0%)

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set -

Y este es el de Sproclog a traves de virustotal

Análisis del archivo SProcLog.txt recibido el 09.05.2009 00:15:30 (CET)Motor antivirus Versión Última actualización Resultado

a-squared 4.0.0.101 2009.05.08 -

AhnLab-V3 5.0.0.2 2009.05.08 -

AntiVir 7.9.0.166 2009.05.08 -

Antiy-AVL 2.0.3.1 2009.05.08 -

Authentium 5.1.2.4 2009.05.08 -

Avast 4.8.1335.0 2009.05.08 -

AVG 8.5.0.327 2009.05.08 -

BitDefender 7.2 2009.05.08 -

CAT-QuickHeal 10.00 2009.05.08 -

ClamAV 0.94.1 2009.05.08 -

Comodo 1157 2009.05.08 -

DrWeb 5.0.0.12182 2009.05.08 -

eSafe 7.0.17.0 2009.05.07 -

eTrust-Vet 31.6.6497 2009.05.08 -

F-Prot 4.4.4.56 2009.05.08 -

F-Secure 8.0.14470.0 2009.05.08 -

Fortinet 3.117.0.0 2009.05.08 -

GData 19 2009.05.09 -

Ikarus T3.1.1.49.0 2009.05.08 -

K7AntiVirus 7.10.729 2009.05.08 -

Kaspersky 7.0.0.125 2009.05.09 -

McAfee 5609 2009.05.08 -

McAfee+Artemis 5609 2009.05.08 -

McAfee-GW-Edition 6.7.6 2009.05.08 -

Microsoft 1.4602 2009.05.08 -

NOD32 4063 2009.05.08 -

Norman 6.01.05 2009.05.08 -

nProtect 2009.1.8.0 2009.05.08 -

Panda 10.0.0.14 2009.05.08 -

PCTools 4.4.2.0 2009.05.07 -

Prevx 3.0 2009.05.09 -

Rising 21.28.41.00 2009.05.08 -

Sophos 4.41.0 2009.05.08 -

Sunbelt 3.2.1858.2 2009.05.08 -

Symantec 1.4.4.12 2009.05.08 -

TheHacker 6.3.4.1.323 2009.05.08 -

TrendMicro 8.950.0.1092 2009.05.08 -

VBA32 3.12.10.4 2009.05.08 -

ViRobot 2009.5.8.1725 2009.05.08 -

VirusBuster 4.6.5.0 2009.05.08 -

Información adicional

Tamano archivo: 448151 bytes

MD5...: 87dff311467be67511fcf04b36c8d74e

SHA1..: 73bf87e443be59d8914aa34994ce0b2c4a77692d

SHA256: ef52afd1f94b8ac203485ffd0b437a8b0f2743cb0aebebd445b50752f66ebbb3

SHA512: 0ee0e9d5a02357b0e11065be3b211b028a44b82df4994a4daccbd24d3521ca7d f5a440908d403c64faf2184edda40ee578488715fbaf754e1eed8d7129a774f1

ssdeep: 3072:J8dh5nsGqMccvJLRK/INq+ZAYJnrXJZlk9Po77wRBod1cTbk:Cdh5nsGqMc cvJjq+RXk9PPfy 

PEiD..: -

TrID..: File type identification Unknown!

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set -

Mensaje por **msc hotline sat** » 09 May 2009, 07:43

No, eso no es, el archivo al que se refería lucl que subieras al VirusTotal es la muestra que te pediamos nos enviaras:

C:\WINDOWS\system32\adsmsextg.exe

los informes debes postearlos con un copiar y pegar, y si son demasiado grandes, anexalos al post que hagas al respecto, pero son ficheros de texto, con informacion para que la estudiemos, de nada sirve escanearlos con ningun antivirus ni con los 40 del VirusTotal...

Lo mismo que hiciste con el infosat.txt y el sproclog.txt, hazlo con el adsmsextg.exe y nos posteas el resultado, ademas de anexar los informes indicados.

saludos

ms, 9-5-2009

carlos20071 · Mensaje por **carlos20071** » 09 May 2009, 11:19

Hola de nuevo

Tras mucho buscar el archivo c:\windows\system32\adsmsextg.exe me he dado cuenta que estaba oculto.

Intento abrirlo y dice que este archivo esta siendo utilizando por otro programa, tampoco me deja copiarlo ni enviarlo a otro lugar.

Al examinarlo con virustotal y terminar de escanearlo da un reporte que dice: 0 bytes size received/ se ha recibido un archivo vacio. Sin embargo tiene 52kb

La fecha en que fue creado es del 17 de Abril, creo que es cercano a cuando el antivirus Norman empezo a no funcionar.

Tampoco me deja cambiarlo a la extension .vir

Gracias de nuevo y perdon por las molestias.

[url=http://img22.imageshack.us/my.php?image=dibujogwy.png]

[img]http://img22.imageshack.us/img22/4459/dibujogwy.png[/img][/url]

Mensaje por **msc hotline sat** » 09 May 2009, 12:01

Prueba arrancar en modo seguro y mira si asi le puedes añadir la extension .VIR

Tras reiniciar ya no se pondrá en marcha y podrás enviarnoslo segun indicamos:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 9-5-2009

carlos20071 · Mensaje por **carlos20071** » 09 May 2009, 14:58

Aqui esta el log de c:\windows\system32\adsmextg.vir que se ha pasado a traves de virus total.

NOTA: He enviado muestra del citado archivo y los dos log de ayer, infosat y sprolog

Muchas gracias y un saludo

Análisis del archivo adsmsextg.vir recibido el 09.05.2009 14:41:49 (CET)Motor antivirus Versión Última actualización Resultado

a-squared 4.0.0.101 2009.05.09 Trojan.Crypt!IK

AhnLab-V3 5.0.0.2 2009.05.09 Win32/IRCBot.worm.variant

AntiVir 7.9.0.166 2009.05.08 TR/Crypt.XPACK.Gen

Antiy-AVL 2.0.3.1 2009.05.08 Backdoor/Win32.IRCBot

Authentium 5.1.2.4 2009.05.08 W32/Waledac.D.gen!Eldorado

Avast 4.8.1335.0 2009.05.08 Win32:Trojan-gen {Other}

AVG 8.5.0.327 2009.05.09 SHeur2.ABDF

BitDefender 7.2 2009.05.09 Backdoor.IRCBot.ACRA

CAT-QuickHeal 10.00 2009.05.09 Trojan.Agent.gen

ClamAV 0.94.1 2009.05.09 -

Comodo 1157 2009.05.08 TrojWare.Win32.Trojan.Agent.Gen

DrWeb 5.0.0.12182 2009.05.09 BackDoor.IRC.Nite.18

eSafe 7.0.17.0 2009.05.07 Win32.TRCrypt.ZPACK

eTrust-Vet 31.6.6497 2009.05.08 -

F-Prot 4.4.4.56 2009.05.08 W32/Waledac.D.gen!Eldorado

F-Secure 8.0.14470.0 2009.05.08 Backdoor.Win32.IRCBot.imc

Fortinet 3.117.0.0 2009.05.09 W32/WaledPak.A

GData 19 2009.05.09 Backdoor.IRCBot.ACRA

Ikarus T3.1.1.49.0 2009.05.09 Trojan.Crypt

K7AntiVirus 7.10.729 2009.05.08 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.05.09 Backdoor.Win32.IRCBot.imc

McAfee 5609 2009.05.08 Spam-Mailbot.m

McAfee+Artemis 5609 2009.05.08 Spam-Mailbot.m

McAfee-GW-Edition 6.7.6 2009.05.09 Trojan.Crypt.XPACK.Gen

Microsoft 1.4602 2009.05.09 Backdoor:Win32/Momibot

NOD32 4063 2009.05.08 Win32/IRCBot.ADZ

Norman 6.01.05 2009.05.08 -

nProtect 2009.1.8.0 2009.05.09 Backdoor/W32.IRCBot.53248.R

Panda 10.0.0.14 2009.05.09 W32/Gaobot.OXI.worm

PCTools 4.4.2.0 2009.05.07 -

Prevx 3.0 2009.05.09 Medium Risk Malware Dropper

Rising 21.28.52.00 2009.05.09 Trojan.Win32.Nodef.ihi

Sophos 4.41.0 2009.05.09 Mal/WaledPak-A

Sunbelt 3.2.1858.2 2009.05.09 -

Symantec 1.4.4.12 2009.05.09 Trojan Horse

TheHacker 6.3.4.1.323 2009.05.08 Backdoor/IRCBot.imc

TrendMicro 8.950.0.1092 2009.05.08 BKDR_IRCBOT.CGZ

VBA32 3.12.10.4 2009.05.08 Trojan.Win32.Waledac

ViRobot 2009.5.9.1727 2009.05.09 Backdoor.Win32.IRCBot.53248.T

VirusBuster 4.6.5.0 2009.05.08 Backdoor.IRCBot.ACPK

Información adicional

Tamano archivo: 53248 bytes

MD5...: 9dfbb65361f0648340eb341f5ce131d6

SHA1..: b8f6415da44ac7065815ff3ba3095d7e45209ca0

SHA256: 36b60c1356327fe70aa0fbc8999cb61304fdf278c6c729d8ae09712355375c50

SHA512: f226d354e8117e77b9c64d85c9389cac5996bd204e2f95b62abdd9270ce7a91d 93e7ec5881916f8ac8e566d3b46fa3bd97f69752cf43646c687a2fb655ea9b9a

ssdeep: 1536:lQfdYpZUoGKVREea0NLmu/IsFuq/O28W6hB6Fl:lQfd4ZUikTu/yq/B16eF l 

PEiD..: -

TrID..: File type identification Win32 Dynamic Link Library (generic) (55.5%) Clipper DOS Executable (14.7%) Generic Win/DOS Executable (14.6%) DOS Executable Generic (14.6%) VXD Driver (0.2%)

PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x9b52 timedatestamp.....: 0x47427686 (Tue Nov 20 05:54:14 2007) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x12000 0xc400 7.74 d8ff4ccfd4d9394ec27e332fe073021a .idata 0x13000 0x1000 0x400 3.95 4207a920b34f01ad406e8606a6838e04 .rsrc 0x14000 0x1000 0x400 1.94 a8343f421995ce08378bf9f766be7ef9 ( 2 imports ) > kernel32.dll: VerifyConsoleIoHandle, GetSystemDirectoryA, GetPrivateProfileStructW, FlushInstructionCache, GetProfileStringA, ScrollConsoleScreenBufferW, CreateActCtxW, WaitCommEvent, FlushFileBuffers, FindActCtxSectionGuid, Sleep > user32.dll: SetWindowsHookExA, DialogBoxIndirectParamW, GetTopWindow, GetClientRect, SetLayeredWindowAttributes, ModifyMenuA, DdeSetUserHandle, CreatePopupMenu, CreateDesktopA, DestroyWindow, IsCharLowerW, CalcMenuBar, LoadCursorFromFileA ( 0 exports ) 

PDFiD.: -

RDS...: NSRL Reference Data Set -

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9dfbb65361f0648340eb341f5ce131d6' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9dfbb65361f0648340eb341f5ce131d6</a>

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=9E4C738E000A8612D04A004268D02D009AEAAE83' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=9E4C738E000A8612D04A004268D02D009AEAAE83</a>

Mensaje por **msc hotline sat** » 09 May 2009, 19:00

Pues ya ves que era bicho ! Asi que el lunes, cuando volvamos al trabajo en SATINFO, lo monitorizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.

Sobre los log y txt, no deben enviarse por mail, en SATINFO solo se analizan los que tienen contratado sus servicios de asistencia tecnica, a diferencia de las muestras viricas, que estas se procesan para controlarlas con las nuevas versiones de las utilidades que vamos haciendo a diario.

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

Si no caben con un copiar y pegar, anexarlas en los post, que ya procederemos a postearlas nosotros, recortando lo superfluo (lineas creadas por el SPYBOT 127.0.0.1 ...)

saludos

ms, 9-5-2009

carlos20071 · Mensaje por **carlos20071** » 09 May 2009, 20:55

Quedo esperando instrucciones. Un saludo

Mensaje por **lucl** » 09 May 2009, 23:13

Estate atento al post el lunes que te diran algo al respecto. Mientras como ya lo tienes con extension .vir no deberia causarte mayores problemas saludos

Mensaje por **msc hotline sat** » 10 May 2009, 10:04

Y los informes .txt o .log que enviastes, anexalos a tu siguiente post, de respuesta de este Tema :

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

saludos

ms, 10-5-2009

Mensaje por **msc hotline sat** » 11 May 2009, 10:21

Afortunadamente he podido rescatar los informes antes que los enviaran a la papelera, y lo interesante es:

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\K-Lite Codec Pack\QuickTime\quicktime_browser_plugin.exe --> Eliminado, FireDaemon(dr)

________

(8-5-2009 18:47:1)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: CARLOS

Nombre Usuario: C_Esco

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\NORMAN\NPM\BIN\ELOGSVC.EXE

C:\WINDOWS\SYSTEM32\ACS.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVMVFM\LVPRCSRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\SCHEDULE2\SCHEDUL2.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\ARCHIVOS DE PROGRAMA\APOINT2K\APOINT.EXE

C:\ARCHIVOS DE PROGRAMA\802.11 WLAN\ACU.EXE

C:\ARCHIVOS DE PROGRAMA\ACRONIS\TRUEIMAGE\TRUEIMAGEMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\SCHEDULE2\SCHEDHLP.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\DISTILLR\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LCOMMGR\COMMUNICATIONS_HELPER.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\QUICKCAM10\QUICKCAM10.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LCOMMGR\LVCOMSX.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\APOINT2K\APNTEX.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LQCVFX\COCIMANAGER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\C_ESCO\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\E6VM9BKC\SPROCES[1].EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 http://www.007guard.com

.....

O1 - Hosts: 127.0.0.1 spytech-web.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [PowerManager] C:\Archivos de programa\Power Manager\PM.exe

O4 - HKLM\..\Run: [ACU] "C:\Archivos de programa\802.11 WLAN\ACU.exe" -nogui

O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Archivos de programa\Acronis\TrueImage\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\QuickCam10\QuickCam10.exe" /hide

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper200711281.dll

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc2.cab

O16 - DPF: {6e32070a-766d-4ee6-879c-dc1fa91d2fc3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241727534692

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: 802.11 WLAN Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Norman eLogger service 6 (eloggersvc6) - Norman ASA - C:\Archivos de programa\Norman\Npm\Bin\Elogsvc.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\archivos de programa\archivos comunes\logishrd\lvmvfm\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: AEGIS Protocol (IEEE 802.1x) v2.3.1.10 (MDC8021X) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\mdc8021x.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Acronis TrueImage FS Filter (tifsfilter) - Acronis - C:\WINDOWS\SYSTEM32\DRIVERS\tifsfilt.sys

O23 - Service: WIBU-KEY Kernel Driver (WIBUKEY) - WIBU-SYSTEMS AG - C:\WINDOWS\SYSTEM32\DRIVERS\WibuKey.sys

~~[b]~~[i]O23 - Service: Servicio del número de serie de medio portátil WmdmPmSNWmiApSrv (WmdmPmSNWmiApSrv) - Unknown owner - C:\WINDOWS\system32\adsmsextg.exe[/i][/b]

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Alps Pointing-device Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys

O23 - Service: 802.11 WLAN USB Wireless Network Adapter Service (AR5523) - WLAN Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5523.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe (file missing)

O23 - Service: WLAN USB Wireless Adapter Bootloader driver (ATHFMWDL) - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\Drivers\ATHFMWDL.sys

O23 - Service: Broadcom 440x 10/100 Integrated Controller XP Driver (bcm4sbxp) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcm4sbxp.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ENE Keyboard Controller (EKBfltr) - EnE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\EKBfltr.sys

O23 - Service: UVC Filter Service (FilterService) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lvuvcflt.sys

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: GTNDIS5 NDIS Protocol Driver (GTNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\system32\GTNDIS5.SYS

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Logitech AEC Driver (LVcKap) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVcKap.sys

O23 - Service: Logitech Machine Vision Engine Loader (LVMVDrv) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVMVDrv.sys

O23 - Service: Logitech POP Suppression Filter (lvpopflt) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lvpopflt.sys

O23 - Service: Logitech LVPr2Mon Driver (LVPr2Mon) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVPr2Mon.sys

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech Inc. - C:\WINDOWS\SYSTEM32\drivers\LVUSBSta.sys

O23 - Service: QuickCam for Notebooks Deluxe(UVC) (LVUVC) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lvuvc.sys

O23 - Service: Low level access layer for CD devices (Pcouffin) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\Pcouffin.sys (file missing)

O23 - Service: Padus ASPI Shell (Pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: 802.11a/g USB Driver (PRISM_A02) - Cisco-Linksys, LLC. - C:\WINDOWS\SYSTEM32\DRIVERS\WUSB20XP.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM (sasenum) - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: Controlador del adaptador Intel(R) PRO/Wireless 2200 para Windows XP (w22n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w22n51.sys

O23 - Service: WINIO (winio) - Unknown owner - C:\Archivos de programa\Power Manager\winio.sys (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

48 Servicios.

13 de Carga Automatica.

32 de Carga Manual.

3 Deshabilitados.

________

Además hemos recibido el fichero muestra ~~[b]~~[i]adsmsextg.vir[/i][/b], conforme pediamos, que pasamos a monitorizar y del que hoy mismo implementaremos su control y eliminación en nuestras utilidades, de lo cual informaremos

saludos

ms, 11-5-2009

Mensaje por **msc hotline sat** » 11 May 2009, 16:40

Bien, pues lo pasamos a controlar con el ELISTARA de hoy, 18.58 como SPAM-MAILBOT, pero conviene que una vez descargado, arranques en modo seguro y lo pruebes en dicho modo, incluido el analisis por exploracion, tras lo cual al rteiniciar normalmente ya lo eliminará.

Si no lo haces asi, irá pidiendo repetidamente que reinicies para eliminarlo...

A partir de las 19 h GMT estara disponible en esta web para pruebas de evaluacion en el foro de zonavirus. Descargalo entonces, pruebalo y mos cuentas el resultado

saludos

ms, 11-5-2009

carlos20071 · Mensaje por **carlos20071** » 12 May 2009, 00:00

Hola a todo el equipo

Descargado Elistara, detecto el archivo adsmsextg.vir y lo elimino.Seguidamente reinicie el ordenador. El antivirus Norman no se puso en funcionamiento,lo desinstale y lo volvi a instalar y .... BRAVO! :P aparecio el icono en la barra de herramientas.

!GRACIAS a TODOS¡

Ahora puedo desplegar todas las opciones normalmente, programacion, actualizaciones..... tal como estaba al principio.

Respecto al Superantispyware, lo puse en marcha, escaneo durante 11 minutos y dio pantallazo azul,volviendose a reiniciar el ordenador. Solucion, lo he desinstalado, no ha sido facil ya que no aparecia en la lista de programas a instalar y desinstalar desde panel de control. Creo que teniendo el Malwarebytes sera suficiente.

Dejo los log que envie pero no pegue aqui. Muchas gracias de nuevo a todos por la eficaz ayuda.

(8-5-2009 18:47:1)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: CARLOS

Nombre Usuario: C_Esco

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\NORMAN\NPM\BIN\ELOGSVC.EXE

C:\WINDOWS\SYSTEM32\ACS.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVMVFM\LVPRCSRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\SCHEDULE2\SCHEDUL2.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\ARCHIVOS DE PROGRAMA\APOINT2K\APOINT.EXE

C:\ARCHIVOS DE PROGRAMA\802.11 WLAN\ACU.EXE

C:\ARCHIVOS DE PROGRAMA\ACRONIS\TRUEIMAGE\TRUEIMAGEMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\SCHEDULE2\SCHEDHLP.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\DISTILLR\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LCOMMGR\COMMUNICATIONS_HELPER.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\QUICKCAM10\QUICKCAM10.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LCOMMGR\LVCOMSX.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\APOINT2K\APNTEX.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LQCVFX\COCIMANAGER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\C_ESCO\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\E6VM9BKC\SPROCES[1].EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 alltruesoftware.co

O1 - Hosts: 127.0.0.1 spytech-web.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [PowerManager] C:\Archivos de programa\Power Manager\PM.exe

O4 - HKLM\..\Run: [ACU] "C:\Archivos de programa\802.11 WLAN\ACU.exe" -nogui

O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Archivos de programa\Acronis\TrueImage\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\QuickCam10\QuickCam10.exe" /hide

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper200711281.dll

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc2.cab

O16 - DPF: {6e32070a-766d-4ee6-879c-dc1fa91d2fc3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241727534692

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: 802.11 WLAN Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Norman eLogger service 6 (eloggersvc6) - Norman ASA - C:\Archivos de programa\Norman\Npm\Bin\Elogsvc.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\archivos de programa\archivos comunes\logishrd\lvmvfm\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: AEGIS Protocol (IEEE 802.1x) v2.3.1.10 (MDC8021X) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\mdc8021x.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Acronis TrueImage FS Filter (tifsfilter) - Acronis - C:\WINDOWS\SYSTEM32\DRIVERS\tifsfilt.sys

O23 - Service: WIBU-KEY Kernel Driver (WIBUKEY) - WIBU-SYSTEMS AG - C:\WINDOWS\SYSTEM32\DRIVERS\WibuKey.sys

O23 - Service: Servicio del número de serie de medio portátil WmdmPmSNWmiApSrv (WmdmPmSNWmiApSrv) - Unknown owner - C:\WINDOWS\system32\adsmsextg.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Alps Pointing-device Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys

O23 - Service: 802.11 WLAN USB Wireless Network Adapter Service (AR5523) - WLAN Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5523.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe (file missing)

O23 - Service: WLAN USB Wireless Adapter Bootloader driver (ATHFMWDL) - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\Drivers\ATHFMWDL.sys

O23 - Service: Broadcom 440x 10/100 Integrated Controller XP Driver (bcm4sbxp) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcm4sbxp.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ENE Keyboard Controller (EKBfltr) - EnE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\EKBfltr.sys

O23 - Service: UVC Filter Service (FilterService) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lvuvcflt.sys

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: GTNDIS5 NDIS Protocol Driver (GTNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\system32\GTNDIS5.SYS

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Logitech AEC Driver (LVcKap) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVcKap.sys

O23 - Service: Logitech Machine Vision Engine Loader (LVMVDrv) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVMVDrv.sys

O23 - Service: Logitech POP Suppression Filter (lvpopflt) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lvpopflt.sys

O23 - Service: Logitech LVPr2Mon Driver (LVPr2Mon) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVPr2Mon.sys

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech Inc. - C:\WINDOWS\SYSTEM32\drivers\LVUSBSta.sys

O23 - Service: QuickCam for Notebooks Deluxe(UVC) (LVUVC) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lvuvc.sys

O23 - Service: Low level access layer for CD devices (Pcouffin) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\Pcouffin.sys (file missing)

O23 - Service: Padus ASPI Shell (Pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: 802.11a/g USB Driver (PRISM_A02) - Cisco-Linksys, LLC. - C:\WINDOWS\SYSTEM32\DRIVERS\WUSB20XP.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM (sasenum) - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: Controlador del adaptador Intel(R) PRO/Wireless 2200 para Windows XP (w22n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w22n51.sys

O23 - Service: WINIO (winio) - Unknown owner - C:\Archivos de programa\Power Manager\winio.sys (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

48 Servicios.

13 de Carga Automatica.

32 de Carga Manual.

3 Deshabilitados.

(8-5-2009 18:33:45)

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\K-Lite Codec Pack\QuickTime\quicktime_browser_plugin.exe --> Eliminado, FireDaemon(dr)

Nº Total de Directorios: 5220

Nº Total de Ficheros: 79775

Nº de Ficheros Analizados: 16746

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

(8-5-2009 18:42:0)

EliBagle v12.53 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(8-5-2009 18:42:4)

EliBagle v12.53 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 5220

Nº Total de Ficheros: 79791

Nº de Ficheros Analizados: 12628

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 12 May 2009, 07:09

Pues menos mal que nos lo dices:

~~[b]~~[i]Descargado Elistara, detecto el archivo adsmsextg.vir y lo elimino[/i][/b]

ya que te has olvidado de postearnos el informe del ELISTARA ...

Pues nada, celebramos que se haya solucionado y procedemos a cerrar el Tema

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 12-5-2009

Troyano? Virus? secuestrador de programas? (SOLUCIONADO)

Troyano? Virus? secuestrador de programas? (SOLUCIONADO)

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?

Re: Troyano? Virus? secuestrador de programas?