PC muy lenta (SOLUCIONADO)

[Victor Barragan]

Hola señores Zona Virus: Mi PC tarda mucho tiempo en arrancar y luego se pone muy lenta para responder la carga de los programas. En modo segura corri las herramientas: Elitrip, Elistra y Elibaga sin resultados positivos para virus. También corri el antivirus Panda GP beta sin ningun resultado. Envío copia del log de hijackthis. Saludos y gracias, V. Barragan

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:52:14, on 25/06/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode



Running processes:

C:\WINDOWS2\System32\smss.exe

C:\WINDOWS2\SYSTEM32\winlogon.exe

C:\WINDOWS2\system32\services.exe

C:\WINDOWS2\system32\lsass.exe

C:\WINDOWS2\system32\svchost.exe

C:\Archivos de programa\Microsoft Security Essentials\MsMpEng.exe

C:\WINDOWS2\system32\svchost.exe

D:\Archivos de programas\PskSvc.exe

C:\WINDOWS2\Explorer.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com;www.plimus.com;regnow.com;www.regnow.com;*.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch_1.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Archivos de programa\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [APVXDWIN] "D:\Archivos de programas\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "D:\Archivos de programas\Inicio.exe"

O4 - HKCU\..\Run: [TClockEx] D:\Downloads\TClock\TCLOCKEX.EXE

O4 - HKCU\..\Run: [MSGTAG] "C:\Archivos de programa\MSGTAG Status\MSGTAGStatus.exe" /startup

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2009\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS2\system32\ctfmon.exe

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [Slawdog Smart Shutdown] C:\Archivos de programa\Slawdog\Smart Shutdown\Smart Shutdown.exe startup

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS2\System32\shdocvw.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS2\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS2\bdoscandel.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS2\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS2\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {EFAEF0E4-F044-4D57-9900-1C3FF18524C9} - http://pcpitstop.com/antivirus/PitPav.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4FE5293B-7009-4A86-9F8F-26C727427043}: NameServer = 208.67.222.222,208.67.220.220

O17 - HKLM\System\CS1\Services\Tcpip\..\{4FE5293B-7009-4A86-9F8F-26C727427043}: NameServer = 208.67.222.222,208.67.220.220

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Panda Software Controller - Panda Security, S.L. - D:\Archivos de programas\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - D:\Archivos de programas\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Archivos de programa\Archivos comunes\Panda Security\PavShld\pavprsrv.exe

O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - D:\Archivos de programas\pavsrv51.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS2\system32\PSIService.exe

O23 - Service: Panda Host Service (PSHost) - Panda Security International - d:\archivos de programas\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - D:\Archivos de programas\PsImSvc.exe

O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - D:\Archivos de programas\PskSvc.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - D:\Archivos de programas\TPSrv.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS2\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS2\System32\TUProgSt.exe



--

End of file - 10779 bytes

[msc hotline sat]

vEMOS ESTE SOSPECHOSO, ENVIANOSLO PARA ANALIZAR:



C:\Archivos de programa\Slawdog\Smart Shutdown\Smart Shutdown.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 26-6-2009

[Victor Barragan]

Saludos MSC. Adjunto envío archivo rar solicitado. Código de entrada:zonavirus

Saludos, Víctor Barragán.



P.D. Por si las moscas lo voy a eliminar, no recuerdo haberlo bajado.

[Victor Barragan]

Analicé el archivo "smart shuthdown" con Virus Total y Kaspersky y en ambos casos salió negativo.

Salu2, Víctor

[msc hotline sat]

Pues no parece que fuera el caso:


[quote="VirusTotal"]
Análisis del archivo Smart_Shutdown.exe recibido el 2009.06.26 18:34:53 (UTC)

Estado actual: análisis terminado



Resultado: 0/41 (0.00%)
[/quote]

Pero tras reiniciar, dinos si persisten las anomalías, gracias



saludos



ms, 26-6-2009

[msc hotline sat]

Si persiste la lentitud, prueba de desinstalar este cortafuegos, puede que colisione con el Panda:



O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe





y si tras reiniciar sigue el problema, descarga el SPROCES y posteanos el informe tras probarlo, que es mas exhaustivo que el del HJT (y esta vez hazlo en modo normal):




[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 26-6-2009

[Victor Barragan]

Hola MSC, desinstalé smart shuthdown, pero todo continúa igual. El cortafuego Sygate no está habilitado. Adjunto te envío el archivo SProcLog.txt

Buenas noches, Víctor Barragán

[msc hotline sat]

Pues como que vemos lo que parece un cortafuegos de Panda residente : PSHOST.EXE, mejor desinstala del todo el Sygate, no solo desactivado... (o el Panda, claro :wink: )



y conoces este proxy ???:



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com;www.plimus.com;regnow.com;www.regnow.com;*.local (0)



es voluntario ??? sino, eliminalo.





Y tras reiniciar, cuentanos el resultado, gracias



saludos



ms, 27-6-2009

[msc hotline sat]

NOTA sobre los proxys usados:



http://www.who.is/website-information/plimus.com/



http://www.cuwhois.com/info/www.regnow.com





no parecen maliciosos, pero cuando menos pueden ralentizar el proceso...



Puede que eliminando la clave se logre la velocidad deseada.



Puede probar el BUSCAREG para ello:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]





saludos



ms, 27-6-2009

[Victor Barragan]

hace unos días recibí un mensaje que la pac había sido atacada por un bicho super maligno (robo de indentidad, vlaves bancarias, etc) al buscar en el log de sucesos de Panda me encontréque el 19/06/2009. 21:47 fue bloqueado un paquete combo SYN, ACK y FIN incorrectos proveniente de PL 204.245.162.33. Más o menos para esa fecha la pc comenzó a comportarse mal.

Saludos, VB. NB Te adjunto unas imágenes del Svchost Analizer.

[Victor Barragan]

Hola MS, las recetas no han funcionado. Desintalé Sygate y borré los proxi que me indicaste. El principal problema es que la pc está muy lerda para ejecutar programas. Ojalá me tengas buenas noticias mañana.

[msc hotline sat]

Pues elimina temporales de windows y de internet, vacia la papelera, desfragmenta el disco duro...



Y por si se tratara de un Rootkit, lanza el Antirootkit Detective de McAfee y posteanos el informe resultante:



http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



saludos



ms, 28-6-2009

[Victor Barragan]

log Rootkit Detective





McAfee(R) Rootkit Detective 1.1 scan report

On 28-06-2009 at 20:46:32

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: C:\WINDOWS2\system32\drivers\Lbd.sys



Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS2\system32\drivers\Lbd.sys



Object-Type: SSDT-hook

Object-Name: ZwTerminateProcess

Object-Path: C:\WINDOWS2\system32\drivers\PavProc.sys



Object-Type: SSDT-hook

Object-Name: ZwWriteVirtualMemory

Object-Path: \??\C:\WINDOWS2\system32\PavSRK.sys



McAfee(R) Rootkit Detective 1.1 scan report

On 28-06-2009 at 20:51:54

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: C:\WINDOWS2\system32\drivers\Lbd.sys



Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS2\system32\drivers\Lbd.sys



Object-Type: SSDT-hook

Object-Name: ZwTerminateProcess

Object-Path: C:\WINDOWS2\system32\drivers\PavProc.sys



Object-Type: SSDT-hook

Object-Name: ZwWriteVirtualMemory

Object-Path: \??\C:\WINDOWS2\system32\PavSRK.sys



Object-Type: Registry-key

Object-Name: DataC:\WINDOWS2\system32\PavSRK.sys

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data

Status: Hidden



Object-Type: Registry-key

Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-key

Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Item Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Status: Hidden



Object-Type: Registry-key

Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Value

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : USER32.dll!SetWindowsHookExW =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : USER32.dll!SetWindowsHookExA =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!ZwQueryValueKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!ZwQueryKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!ZwOpenFile =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!ZwEnumerateValueKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!ZwEnumerateKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!ZwDeleteValueKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!ZwDeleteKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!ZwDeleteFile =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!NtQueryValueKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!NtQueryKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!NtOpenFile =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!NtEnumerateValueKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!NtEnumerateKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!NtDeleteValueKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!NtDeleteKey =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ntdll.dll!NtDeleteFile =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : kernel32.dll!TerminateProcess =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ADVAPI32.dll!StartServiceW =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ADVAPI32.dll!StartServiceA =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ADVAPI32.dll!OpenServiceW =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ADVAPI32.dll!OpenServiceA =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ADVAPI32.dll!CreateServiceW =>

Object-Path:

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 1008

Details: Export : Function : ADVAPI32.dll!CreateServiceA =>

Object-Path:

Status: Hooked



Object-Type: Process

Object-Name: PSIService.exe

Pid: 1704

Object-Path: C:\WINDOWS2\system32\PSIService.exe

Status: Visible



Object-Type: Process

Object-Name: SVCHOST.EXE

Pid: 1364

Object-Path: C:\WINDOWS2\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: CTFMON.EXE

Pid: 3472

Object-Path: C:\WINDOWS2\system32\ctfmon.exe

Status: Visible



Object-Type: File/Folder

Object-Name: System Idle Process

Pid: n/a

Object-Path: System Idle Process

Status: Visible



Object-Type: Process

Object-Name: SNMP.EXE

Pid: 1148

Object-Path: C:\WINDOWS2\System32\snmp.exe

Status: Visible



Object-Type: Process

Object-Name: Ymsgr_tray.exe

Pid: 3876

Object-Path: C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

Status: Visible



Object-Type: Process

Object-Name: msmsgs.exe

Pid: 1768

Object-Path: C:\Archivos de programa\Messenger\msmsgs.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detective.exe

Pid: 3628

Object-Path: C:\Documents and Settings\user\Mis documentos\Downloads\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: WINLOGON.EXE

Pid: 1212

Object-Path: C:\WINDOWS2\SYSTEM32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: PavPrSrv.exe

Pid: 1460

Object-Path: C:\Archivos de programa\Archivos comunes\Panda Security\PavShld\pavprsrv.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleToolbarNotifier.exe

Pid: 3072

Object-Path: C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detective.exe

Pid: 1956

Object-Path: C:\Documents and Settings\user\Mis documentos\Downloads\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: TPSrv.exe

Pid: 1896

Object-Path: D:\Archivos de programas\TPSrv.exe

Status: Visible



Object-Type: Process

Object-Name: SVCHOST.EXE

Pid: 1804

Object-Path: C:\WINDOWS2\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: AVENGINE.EXE

Pid: 3416

Object-Path: D:\Archivos de programas\AVENGINE.EXE

Status: Visible



Object-Type: Process

Object-Name: MSGTAGStatus.exe

Pid: 2176

Object-Path: C:\Archivos de programa\MSGTAG Status\MSGTAGStatus.exe

Status: Visible



Object-Type: Process

Object-Name: SVCHOST.EXE

Pid: 1620

Object-Path: C:\WINDOWS2\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: MsMpEng.exe

Pid: 1744

Object-Path: C:\Archivos de programa\Microsoft Security Essentials\MsMpEng.exe

Status: Visible



Object-Type: Process

Object-Name: SPOOLSV.EXE

Pid: 752

Object-Path: C:\WINDOWS2\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: SVCHOST.EXE

Pid: 1528

Object-Path: C:\WINDOWS2\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: CISVC.EXE

Pid: 320

Object-Path: C:\WINDOWS2\System32\cisvc.exe

Status: Visible



Object-Type: Process

Object-Name: firefox.exe

Pid: 724

Object-Path: C:\Archivos de programa\Mozilla Firefox 3.5 Beta 4\firefox.exe

Status: Visible



Object-Type: Process

Object-Name: PAVSRV51.EXE

Pid: 2400

Object-Path: D:\Archivos de programas\pavsrv51.exe

Status: Visible



Object-Type: Process

Object-Name: PskSvc.exe

Pid: 448

Object-Path: D:\Archivos de programas\PskSvc.exe

Status: Visible



Object-Type: Process

Object-Name: SVCHOST.EXE

Pid: 356

Object-Path: C:\WINDOWS2\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: SERVICES.EXE

Pid: 1256

Object-Path: C:\WINDOWS2\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: SVCHOST.EXE

Pid: 264

Object-Path: C:\WINDOWS2\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: PavFnSvr.exe

Pid: 760

Object-Path: D:\Archivos de programas\PavFnSvr.exe

Status: Visible



Object-Type: Process

Object-Name: EXPLORER.EXE

Pid: 1008

Object-Path: C:\WINDOWS2\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: PSHost.exe

Pid: 1132

Object-Path: d:\archivos de programas\firewall\PSHOST.EXE

Status: Visible



Object-Type: Process

Object-Name: CIDAEMON.EXE

Pid: 3148

Object-Path: C:\WINDOWS2\SYSTEM32\cidaemon.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleUpdate.exe

Pid: 2624

Object-Path: C:\Documents and Settings\user\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe

Status: Visible



Object-Type: Process

Object-Name: msimn.exe

Pid: 1260

Object-Path: C:\Archivos de programa\Outlook Express\msimn.exe

Status: Visible



Object-Type: Process

Object-Name: CSRSS.EXE

Pid: 1168

Object-Path: C:\WINDOWS2\system32\csrss.exe

Status: Visible



Object-Type: Process

Object-Name: LSASS.EXE

Pid: 1292

Object-Path: C:\WINDOWS2\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: WebProxy.exe

Pid: 672

Object-Path: D:\ARCHIVOS DE PROGRAMAS\WebProxy.exe

Status: Visible



Object-Type: Process

Object-Name: SrvLoad.exe

Pid: 2688

Object-Path: D:\Archivos de programas\SRVLOAD.EXE

Status: Visible



Object-Type: Process

Object-Name: ApVxdWin.exe

Pid: 3032

Object-Path: D:\Archivos de programas\APVXDWIN.EXE

Status: Visible



Object-Type: Process

Object-Name: mDNSResponder.exe

Pid: 956

Object-Path: C:\Archivos de programa\Bonjour\mDNSResponder.exe

Status: Visible



Object-Type: Process

Object-Name: PsCtrlS.exe

Pid: 1360

Object-Path: D:\Archivos de programas\PsCtrls.exe

Status: Visible



Object-Type: Process

Object-Name: SMSS.EXE

Pid: 896

Object-Path: C:\WINDOWS2\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: PsImSvc.exe

Pid: 1764

Object-Path: D:\Archivos de programas\PsImSvc.exe

Status: Visible



Object-Type: Process

Object-Name: PavBckPT.exe

Pid: 3500

Object-Path: D:\Archivos de programas\PavBckPT.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleUpdate.exe

Pid: 3252

Object-Path:

Status: Hidden



Scan complete. Found hidden Processes and Files: 1 .

Total files scanned: 98256

[msc hotline sat]

Pues sí, este fichero está siendo ejecutado en proceso oculto, lo cual es típico de los rootkits:


[quote]
Object-Type: Process

Object-Name: GoogleUpdate.exe

Pid: 3252

Object-Path:

Status: Hidden



Scan complete. Found hidden Processes and Files: 1 [/quote]

Envianoslo para analizar e informaremos





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 29-6-2009

[Victor Barragan]

Hola MS, seguí tus últimas intrucciones: corrí HJT en modo seguro y trater de borrar

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

pero no se borró. Cuando regresé al modo normal la pc estaba igual de lenta. En modo normal desintalé Google Updater, reinicié la pc y no hubo cambio alguno. Adjunto envío el archivo GoogleUdater.rar con código de acceso "virus". Voy a desactivar el proceso de Google Update. exe a ver que ocurre.

Saludos, VB

[msc hotline sat]

204.245.162.33





Ojo que no es lo que te decíamos:



Te pedíamos que nos enviaras para analizar el fichero



GoogleUpdate.exe





no que eliminaras esto otro...



O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe





No es lo mismo el GoogleUpdate.exe que el GoogleUpdaterService.exe ...



Además, no vuelvas a anexar sospechosos a los posts, asi los puede descargar cualquiera y si fueran virus podrían decirnos que de esta web se pueden descargar virus !



Siempre las muestras se deben enviar como se indica en:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir los ficheros, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 30-6-2009

[Victor Barragan]

Hola Ms, la pac sigue igual de lenta. Te mando el log de runscanner (un programa que me encontré en la red);

Runscanner logfile



* = signed file

- = file not found



General info

------------

Computer name : VICTOR-GB2XJAUP

Creation time : 30/06/2009 19:50:00

Hosts <> 127.0.0.1 : 0

Hosts file location : %SystemRoot%\System32\drivers\etc

IE version : 8.0.6001.18702

OS : Microsoft Windows XP

OS Build : 2600

OS SP : Service Pack 3

RunScanner Version : 1.8.1.0

User Language : Español (alfabetización internacional)

User rights : Administrator

Windows folder : C:\WINDOWS2



Running processes

-----------------

* c:\windows2\System32\smss.exe (Microsoft Corporation)

* D:\Archivos de programas\PskSvc.exe (Panda Security, S.L.)

* C:\Archivos de programa\Microsoft Security Essentials\MsMpEng.exe (Microsoft Corporation)

* C:\WINDOWS2\SYSTEM32\winlogon.exe (Microsoft Corporation)

* C:\WINDOWS2\system32\services.exe (Microsoft Corporation)

* C:\Archivos de programa\Bonjour\mDNSResponder.exe (Apple Inc.)

* C:\WINDOWS2\system32\csrss.exe (Microsoft Corporation)

* C:\WINDOWS2\System32\cisvc.exe (Microsoft Corporation)

* C:\WINDOWS2\system32\ctfmon.exe (Microsoft Corporation)

* C:\WINDOWS2\Explorer.EXE (Microsoft Corporation)

* C:\WINDOWS2\System32\svchost.exe (Microsoft Corporation)

* C:\WINDOWS2\system32\svchost.exe (Microsoft Corporation)

* C:\WINDOWS2\System32\svchost.exe (Microsoft Corporation)

* C:\WINDOWS2\System32\svchost.exe (Microsoft Corporation)

* C:\WINDOWS2\system32\svchost.exe (Microsoft Corporation)

* C:\WINDOWS2\system32\svchost.exe (Microsoft Corporation)

* C:\WINDOWS2\system32\svchost.exe (Microsoft Corporation)

* C:\Documents and Settings\user\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe (Google Inc.)

* C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)

* C:\WINDOWS2\SYSTEM32\cidaemon.exe (Microsoft Corporation)

* D:\ARCHIVOS DE PROGRAMAS\WebProxy.exe (Panda Security, S.L.)

* C:\WINDOWS2\system32\lsass.exe (Microsoft Corporation)

C:\Archivos de programa\MSGTAG Status\MSGTAGStatus.exe (MSGTAG)

* C:\WINDOWS2\system32\PSIService.exe

* D:\Archivos de programas\SRVLOAD.EXE (Panda Security, S.L.)

* D:\Archivos de programas\PavFnSvr.exe (Panda Security, S.L.)

* d:\archivos de programas\firewall\PSHOST.EXE (Panda Security International)

* D:\Archivos de programas\PsImSvc.exe (Panda Security S.L.)

* D:\Archivos de programas\APVXDWIN.EXE (Panda Security, S.L.)

* C:\Archivos de programa\Archivos comunes\Panda Security\PavShld\pavprsrv.exe (Panda Security, S.L.)

* D:\Archivos de programas\PsCtrls.exe (Panda Security, S.L.)

* D:\Archivos de programas\PavBckPT.exe (Panda Security, S.L.)

* C:\Documents and Settings\user\Escritorio\RunScanner.exe (Runscanner.net)

* C:\WINDOWS2\System32\snmp.exe (Microsoft Corporation)

* C:\WINDOWS2\system32\spoolsv.exe (Microsoft Corporation)

* D:\Archivos de programas\TPSrv.exe (Panda Security, S.L.)

* C:\WINDOWS2\system32\wuauclt.exe (Microsoft Corporation)

* C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe (Yahoo! Inc.)



Unrated items

-------------

002 * D:\Archivos de programas\APVXDWIN.EXE (Panda Security, S.L.)

002 * D:\Archivos de programas\Inicio.exe (Panda Security, S.L.)

003 * C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe (Yahoo! Inc.)

003 C:\Archivos de programa\MSGTAG Status\MSGTAGStatus.exe (MSGTAG)

003 D:\Downloads\TClock\TCLOCKEX.EXE (Dale Nurden)

010 * D:\Archivos de programas\PavFnSvr.exe (Panda Function Service)

010 * d:\archivos de programas\firewall\PSHOST.EXE (Panda Host Service)

010 * D:\Archivos de programas\PsImSvc.exe (Panda IManager Service)

010 * D:\Archivos de programas\pavsrv51.exe (Panda On-Access Anti-Malware Service)

010 * D:\Archivos de programas\PskSvc.exe (Panda PSK service)

010 * D:\Archivos de programas\PsCtrls.exe (Panda Software Controller)

010 * D:\Archivos de programas\TPSrv.exe (Panda TPSrv)

010 * C:\WINDOWS2\system32\PSIService.exe (ProtexisLicensing)

010 * C:\WINDOWS2\System32\TuneUpDefragService.exe (TuneUp Drive Defrag Service)

010 * C:\WINDOWS2\System32\TUProgSt.exe (TuneUp Program Statistics Service)

011 * C:\WINDOWS2\system32\10991.sys (10991)

011 * C:\WINDOWS2\system32\2ef23.sys (2ef23)

011 C:\WINDOWS2\System32\DRIVERS\ASPI32.sys (Advanced SCSI Programming Interface Driver)

011 * C:\WINDOWS2\system32\Drivers\APPFLT.SYS (App Filter Plugin)

011 C:\WINDOWS2\system32\drivers\Aspi32.sys (Aspi32)

011 C:\WINDOWS2\System32\drivers\BIOS.sys (BIOS)

011 * C:\WINDOWS2\system32\d1f7.sys (d1f7)

011 * C:\WINDOWS2\system32\Drivers\DSAFLT.SYS (DSA Filter Plugin)

011 C:\WINDOWS2\system32\Drivers\EPLPDX02.SYS (Eplpdx02)

011 * C:\WINDOWS2\system32\Drivers\IDSFLT.SYS (Ids Filter Plugin)

011 * C:\WINDOWS2\system32\Drivers\pavboot.sys (Panda boot driver)

011 * C:\WINDOWS2\system32\DRIVERS\neti1634.sys (PANDA NDIS IM Filter Miniport v1.6.0.34)

011 * C:\WINDOWS2\system32\Drivers\NETFLTDI.SYS (Panda Net Driver [TDI Layer])

011 * C:\WINDOWS2\system32\DRIVERS\PavProc.sys (Panda Process Protection Driver)

011 * C:\WINDOWS2\System32\Drivers\PxHelp20.sys (PxHelp20)

011 * C:\WINDOWS2\system32\DRIVERS\rspSanity32.sys (rspSanity)

011 C:\WINDOWS2\system32\drivers\nchssvad.sys (SoundTap Recorder)

011 C:\WINDOWS2\System32\Drivers\usbVM31b.sys (USB PC Camera 301P)

011 C:\WINDOWS2\System32\DRIVERS\ptserial.sys (W2K Conexant Serial Device Driver)

011 * C:\WINDOWS2\system32\Drivers\WNMFLT.SYS (Wifi Monitor Filter Plugin)

031 GUID / CLSID not found {0A9007C0-4076-11D3-8789-0000F8105754}

041 * C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll (Ask.com) {3041d03e-fd4b-44e0-b742-2d9b88305f98}

041 C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll {327C2873-E90D-4c37-AA9D-10AC9BABA46C}

041 C:\ARCHIV~1\FLASHGET\fgiebar.dll (Amaze Soft) {E0E899AB-F487-11D5-8D29-0050BA6940E3}

042 C:\WINDOWS2\bdoscandel.exe {85d1f590-48f4-11d9-9669-0800200c9a66}

042 C:\Archivos de programa\FlashGet\FlashGet.exe (FlashGet.com) {D6E814A0-E0C5-11d4-8D29-0050BA6940E3}

045 * C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll (Ask.com) {3041D03E-FD4B-44E0-B742-2D9B88305F98}

052 * C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll (Ask.com) {201f27d4-3704-41d6-89c1-aa35e39143ed}

052 C:\Archivos de programa\Canon\Easy-WebPrint\EWPBrowseLoader.dll {68F9551E-0411-48E4-9AAF-4BC42A6A46BE}

052 C:\Archivos de programa\FlashGet\jccatch_1.dll (www.flashget.com) {2F364306-AA45-47B5-9F9D-39A8B94E7EF7}

052 C:\Archivos de programa\FlashGet\getflash.dll (www.flashget.com) {F156768E-81EF-470C-9057-481BA8380DBA}

052 C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.) {E7E6F031-17CE-4C07-BC86-EABFE594F69C}

052 C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll (Megaupload Limited) {bf00e119-21a3-4fd1-b178-3b8537e75c92}

061 * D:\Archivos de programas\PavOLE.dll (Panda Security, S.L.) {65756541-C65C-11CD-0000-4B656E696100}

061 * C:\Archivos de programa\TuneUp Utilities 2009\DseShExt-x86.dll (TuneUp Software) {4838CD50-7E5D-4811-9B17-C47A85539F28}

061 C:\Archivos de programa\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

061 * C:\Archivos de programa\Ace Utilities\wipext.dll {721A1B24-EC8B-4eda-9CCE-39720B9FA747}

069 C:\WINDOWS2\system32\Eplpmx02.DLL (MK Systems CO.,LTD.)

069 C:\WINDOWS2\system32\pdfports.dll (Adobe Systems Incorporated.)

073 Mantenimiento con 1 clic.job : C:\Archivos de programa\TuneUp Utilities 2009\OneClickStarter.exe (TuneUp Software GmbH)

102 GUID / CLSID not found {32683183-48a0-441b-a342-7c2a440a9478}

104 C:\WINDOWS2\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll (Kaspersky Lab) {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75}

104 C:\WINDOWS2\Downloaded Program Files\Housecall_ActiveX.dll (Trend Micro Inc.) {215B8138-A3CF-44C5-803F-8226143CFC0A}

104 GUID / CLSID not found {56762DEC-6B0D-4AB4-A8AD-989993B5D08B}

104 C:\WINDOWS2\DOWNLO~1\oscan82.ocx (BitDefender) {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}

104 * C:\PROGRA~1\AhnLab\ASP\COMPON~1\AhnASP\AhnASP.ocx (AhnLab, Inc.) {6531D99C-0D0E-4293-B3CB-A3E1D0D41847}

104 C:\WINDOWS2\Downloaded Program Files\webscan.dll (CA) {7B297BFD-85E4-4092-B2AF-16A91B2EA103}

104 GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}

104 C:\WINDOWS2\Downloaded Program Files\sabspx.dll (SuperAdBlocker.com) {B1E2B96C-12FE-45E2-BEF1-44A219113CDD}

104 C:\WINDOWS2\Downloaded Program Files\fscax.dll (F-Secure Corporation) {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876}

104 GUID / CLSID not found {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

104 GUID / CLSID not found {EFAEF0E4-F044-4D57-9900-1C3FF18524C9}

105 &Download All with FlashGet : C:\Archivos de programa\FlashGet\jc_all.htm

105 &Download with FlashGet : C:\Archivos de programa\FlashGet\jc_link.htm

105 Adición a la lista de impresión de Easy-WebPrint : res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

105 Impresión a alta velocidad de Easy-WebPrint : res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

105 Impresión de Easy-WebPrint : res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

105 Vista previa de Easy-WebPrint : res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

107 C:\Archivos de programa\Bonjour\mdnsNSP.dll (Apple Inc.)

120 NameServer {4FE5293B-7009-4A86-9F8F-26C727427043} : 208.67.222.222,208.67.220.220

173 * D:\Archivos de programas\PavOLE.dll (Panda Security, S.L.) {65756541-C65C-11CD-0000-4B656E696100}

173 C:\Archivos de programa\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

173 * C:\Archivos de programa\Ace Utilities\wipext.dll {721A1B24-EC8B-4eda-9CCE-39720B9FA747}

221 * D:\Archivos de programas\PavOLE.dll (Panda Security, S.L.) {65756541-C65C-11CD-0000-4B656E696100}

221 C:\Archivos de programa\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

221 * C:\Archivos de programa\Ace Utilities\wipext.dll {721A1B24-EC8B-4eda-9CCE-39720B9FA747}

225 * D:\Archivos de programas\PavOLE.dll (Panda Security, S.L.) {65756541-C65C-11CD-0000-4B656E696100}

225 * D:\Archivos de programas\PavOLE.dll (Panda Security, S.L.) {65756541-C65C-11CD-0000-4B656E696100}

225 C:\Archivos de programa\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

225 C:\Archivos de programa\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

225 * C:\Archivos de programa\Ace Utilities\wipext.dll {721A1B24-EC8B-4eda-9CCE-39720B9FA747}

225 * C:\Archivos de programa\Ace Utilities\wipext.dll {721A1B24-EC8B-4eda-9CCE-39720B9FA747}

227 * C:\Archivos de programa\TuneUp Utilities 2009\DseShExt-x86.dll (TuneUp Software) {4838CD50-7E5D-4811-9B17-C47A85539F28}

227 C:\Archivos de programa\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

251 C:\Archivos de programa\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}



Missing files

-------------

010 C:\DOCUME~1\user\CONFIG~1\Temp\AEHQRGIA.exe

010 C:\DOCUME~1\user\CONFIG~1\Temp\DIOWLNT.exe

010 C:\DOCUME~1\user\CONFIG~1\Temp\DQC.exe

011 C:\WINDOWS2\system32\drivers\Abiosdsk.sys

011 C:\WINDOWS2\system32\drivers\abp480n5.sys

011 C:\WINDOWS2\system32\drivers\adpu160m.sys

011 C:\WINDOWS2\system32\drivers\Aha154x.sys

011 C:\WINDOWS2\system32\drivers\aic78u2.sys

011 C:\WINDOWS2\system32\drivers\aic78xx.sys

011 C:\WINDOWS2\system32\drivers\AliIde.sys

011 C:\WINDOWS2\system32\drivers\amsint.sys

011 c:\windows2\system32\drivers\av5flt.sys

011 C:\WINDOWS2\system32\drivers\asc.sys

011 C:\WINDOWS2\system32\drivers\asc3350p.sys

011 C:\WINDOWS2\system32\drivers\asc3550.sys

011 C:\WINDOWS2\system32\drivers\Atdisk.sys

011 C:\WINDOWS2\system32\drivers\cd20xrnt.sys

011 C:\WINDOWS2\system32\drivers\Changer.sys

011 C:\WINDOWS2\system32\drivers\CmdIde.sys

011 c:\windows2\\SystemRoot\System32\DRIVERS\sr.sys

011 C:\WINDOWS2\system32\drivers\Cpqarray.sys

011 C:\WINDOWS2\system32\drivers\dac2w2k.sys

011 C:\WINDOWS2\system32\drivers\dac960nt.sys

011 C:\WINDOWS2\system32\drivers\dpti2o.sys

011 C:\WINDOWS2\system32\drivers\hpn.sys

011 C:\WINDOWS2\system32\drivers\hpt3xx.sys

011 C:\WINDOWS2\system32\drivers\i2omgmt.sys

011 C:\WINDOWS2\system32\drivers\i2omp.sys

011 C:\WINDOWS2\system32\drivers\ini910u.sys

011 C:\WINDOWS2\system32\drivers\IntelIde.sys

011 C:\WINDOWS2\system32\drivers\lbrtfdc.sys

011 System32\Drivers\Pcouffin.sys

011 C:\WINDOWS2\system32\drivers\mraid35x.sys

011 C:\WINDOWS2\system32\PavSRK.sys

011 C:\WINDOWS2\system32\PavTPK.sys

011 C:\WINDOWS2\system32\drivers\PCIDump.sys

011 C:\WINDOWS2\system32\drivers\PCIIde.sys

011 C:\WINDOWS2\system32\drivers\PDCOMP.sys

011 C:\WINDOWS2\system32\drivers\PDFRAME.sys

011 C:\WINDOWS2\system32\drivers\PDRELI.sys

011 C:\WINDOWS2\system32\drivers\PDRFRAME.sys

011 C:\WINDOWS2\system32\drivers\perc2.sys

011 C:\WINDOWS2\system32\drivers\perc2hib.sys

011 C:\WINDOWS2\system32\drivers\ql1080.sys

011 C:\WINDOWS2\system32\drivers\Ql10wnt.sys

011 C:\WINDOWS2\system32\drivers\ql12160.sys

011 C:\WINDOWS2\system32\drivers\ql1240.sys

011 C:\WINDOWS2\system32\drivers\ql1280.sys

011 C:\Archivos de programa\Mozilla Firefox 2 Beta 1\SABProcEnum.sys

011 C:\WINDOWS2\system32\drivers\Simbad.sys

011 C:\WINDOWS2\system32\drivers\Sparrow.sys

011 C:\WINDOWS2\system32\drivers\sym_hi.sys

011 C:\WINDOWS2\system32\drivers\sym_u3.sys

011 C:\WINDOWS2\system32\drivers\symc810.sys

011 C:\WINDOWS2\system32\drivers\symc8xx.sys

011 C:\WINDOWS2\system32\drivers\TosIde.sys

011 C:\WINDOWS2\system32\drivers\ultra.sys

011 C:\WINDOWS2\system32\drivers\WDICA.sys

212 C:\WINDOWS2\system32\dfrg.msc %c:



A ver que me dices, si no hay remedio tendré que ir al remedio final que es formatear el disco. Ojalá que no.

Saludos, V.B.

[msc hotline sat]

Pues ha servido para ver donde tienes el fichero que se te pide nos envies para analizar:



C:\Documents and Settings\user\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe (Google Inc.)



Cuando lo recibamos, lo analizaremos e informaremos



saludos



ms, 1-7-2009

[Victor Barragan]

MSC metí la pata dos veces :oops: Te pido excusas. Voy a enviar el archivo solicitado según el protocolo del foro. Desinstalé Panda GS 2010 debido a que me llegó un aviso de terminación de la prueba. Nuevamente tengo instalados Avira y Sygate. Espero buenas notias de tu parte. Saludos, V.B.

[msc hotline sat]

Espero que hoy recibiremos las muestras y ya informaremos.



saludos



ms, 2-7-2009

[msc hotline sat]

No vemos rastros viricos en el fichero recibido, y dandole vueltas al log vemos que usa PANDA y tiene un cortafuegos Seagate...



O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - D:\Archivos de programas\PskSvc.exe



O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe





Sugiero pruebe desinstalar una de las dos protecciones , no sea que estén colisionando.



Y tras reiniciar nos informa del resultado, gracias



saludos



ms, 2-7-2009





NOTA: De todas formas, fijate bien, te pedimos C:\Documents and Settings\user\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe



y lo que nos has enviado es GoogleUpdater, con R final ...



Prueba el ELIMOVER a ver si encuentras este fichero poniendo en él toda la linea, con un copiat y pegar :



C:\Documents and Settings\user\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe



DESCARGA DE ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



y por si acaso, marca la casilla inferior izquierda para sacarlo de circulacion. ms.

[julibaga]

Perdón la intromisión.

Yo te sugiero que desinstales el AskBar que tienes, ya que este te enlentece bastante.

[msc hotline sat]

Sí, todos los tolbars enlentecen, pero aquií hay gato encerrado...



Fijate en este fichero que lo vemos lanzado como GoogleUpdate.exe, tanto con el Sproces como en el ultimo escaneo con el runscanner, y en cambio lo qque nos envia es el GOOGLEUPDATER.EXE , con R...



Me huelo que hay los dos, y uno bien oculto :) , por eso digo lo del ELIMOVER



bueno, ya veremos



saludos



ms, 2-7-2009





NOTA A JULIBAGA: Luego te pongo un privado sobre pack de utilidades que me pediste en su día comercializar en tu pais. ms.

[Victor Barragan]

Hola MS, he enviado el archivo solicitado (sin embargo, el programita de envío no ha indicado el tema "PC muy lenta",

Seguí la sugerencia de julibaga y desinstalé el toolbar. Salu2 y gracias.

[msc hotline sat]

SI has encontrado el Googleupdate.exe sin R , subelo al VirusTOtal, a ver que detectan: www.virustotal.com/es



y nos posteas el informe resultante.



Hasta el lunes no volvemos al trabajo, pues asui ya son las 6 y media de la tarde del viernes.



y dinos tambien si has desinstalado el cortafuegos de Sygate, no sea que colisiones con lo de Panda.



Bueno, espero ansioso el informe de VirusTotal.



saludos



ms, 3-7-2009

[Victor Barragan]

Hola M.S.C. tuve que desintalar Panda GS 2010 pues el período de prueba venció por lo que volví a instalar avira y el cortafuego sygate que por recomendación tuya ya había desinstalado. Como podrás ver el informe de Virus Total es negativo. Que tengas un buen fin de semana. Salu2, Victor.



Análisis del archivo GoogleUpdate.exe recibido el 2009.07.04 02:22:30 (UTC)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 0/41 (0%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: ___.

Se estima que tendrá que esperar entre ___ y ___

hasta el comienzo del análisis.

No cierre la ventana hasta se haya completado el análisis.

El analizador que estaba procesando su muestra se encuentra detenido,

se va a esperar unos segundos por si fuera posible recuperar el resultado.

Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.

Su archivo está siendo analizado por VirusTotal en estos momentos,

los resultados se iran mostrando a continuación.

Compactar Compactar Imprimir resultados Imprimir resultados

La muestra ha caducado o no existe.

El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.



Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.

Email:



Motor antivirus Versión Última actualización Resultado

a-squared 4.5.0.18 2009.07.04 -

AhnLab-V3 5.0.0.2 2009.07.03 -

AntiVir 7.9.0.204 2009.07.03 -

Antiy-AVL 2.0.3.1 2009.07.03 -

Authentium 5.1.2.4 2009.07.03 -

Avast 4.8.1335.0 2009.07.03 -

AVG 8.5.0.386 2009.07.03 -

BitDefender 7.2 2009.07.04 -

CAT-QuickHeal 10.00 2009.07.03 -

ClamAV 0.94.1 2009.07.03 -

Comodo 1538 2009.07.02 -

DrWeb 5.0.0.12182 2009.07.04 -

eSafe 7.0.17.0 2009.07.02 -

eTrust-Vet 31.6.6596 2009.07.03 -

F-Prot 4.4.4.56 2009.07.03 -

F-Secure 8.0.14470.0 2009.07.03 -

Fortinet 3.117.0.0 2009.07.03 -

GData 19 2009.07.04 -

Ikarus T3.1.1.64.0 2009.07.04 -

Jiangmin 11.0.706 2009.07.03 -

K7AntiVirus 7.10.783 2009.07.03 -

Kaspersky 7.0.0.125 2009.07.04 -

McAfee 5665 2009.07.03 -

McAfee+Artemis 5665 2009.07.03 -

McAfee-GW-Edition 6.8.5 2009.07.04 -

Microsoft 1.4803 2009.07.03 -

NOD32 4214 2009.07.03 -

Norman 6.01.09 2009.07.03 -

nProtect 2009.1.8.0 2009.07.04 -

Panda 10.0.0.14 2009.07.03 -

PCTools 4.4.2.0 2009.07.03 -

Prevx 3.0 2009.07.04 -

Rising 21.36.44.00 2009.07.03 -

Sophos 4.43.0 2009.07.04 -

Sunbelt 3.2.1858.2 2009.07.02 -

Symantec 1.4.4.12 2009.07.04 -

TheHacker 6.3.4.3.361 2009.07.04 -

TrendMicro 8.950.0.1094 2009.07.03 -

VBA32 3.12.10.7 2009.07.04 -

ViRobot 2009.7.3.1818 2009.07.03 -

VirusBuster 4.6.5.0 2009.07.03 -

Información adicional

Tamano archivo: 133104 bytes

MD5...: 626a24ed1228580b9518c01930936df9

SHA1..: dcb86149b70829bb4320811b12686ae00131dbc3

SHA256: cbd94ab1e5477d7288799d17528cc43d572e711da0f2b0c784a0b9fe105bf0f4

ssdeep: 3072:QiZjqeJbvcYWa5L6pf5XaFmTa7F++PRFBkbq8GhmZE2fAl+/UBro22oSBVu

70YLk:TZjqeJbvJhw+c

PEiD..: -

TrID..: File type identification

Win64 Executable Generic (59.6%)

Win32 Executable MS Visual C++ (generic) (26.2%)

Win32 Executable Generic (5.9%)

Win32 Dynamic Link Library (generic) (5.2%)

Generic Win/DOS Executable (1.3%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x6eef

timedatestamp.....: 0x48af14ef (Fri Aug 22 19:35:11 2008)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x10248 0x10400 6.62 a181eababbf69f8b03cfb7ee15cdcf16

.data 0x12000 0x2ec8 0x1200 2.40 ab9618899bbd91c5e6e1c3c17beb234f

.rsrc 0x15000 0xd638 0xd800 4.19 2af22559239220e90c282dec05a8840b



( 2 imports )

> KERNEL32.dll: RaiseException, LoadLibraryExW, VerifyVersionInfoW, GetModuleHandleW, SizeofResource, VerSetConditionMask, LockResource, GetLastError, FindResourceExW, FindResourceW, GetProcAddress, lstrlenW, GetCommandLineW, GetFileAttributesExW, FreeLibrary, GetModuleFileNameW, LoadResource, SystemTimeToFileTime, GetSystemTime, CompareFileTime, SetLastError, LocalAlloc, CloseHandle, SetStdHandle, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, GetVersionExA, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetStartupInfoW, WideCharToMultiByte, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, GetCurrentThreadId, InterlockedDecrement, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, SetHandleCount, GetFileType, GetStartupInfoA, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, VirtualAlloc, RtlUnwind, Sleep, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, InterlockedExchange, LoadLibraryA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, GetConsoleCP, GetConsoleMode, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetFilePointer, CreateFileA

> ole32.dll: CoCreateGuid



( 0 exports )

PDFiD.: -

RDS...: NSRL Reference Data Set

-

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=626a24ed1228580b9518c01930936df9' target='_blank'>http://www.threatexpert.com/report.aspx?md5=626a24ed1228580b9518c01930936df9</a>

[msc hotline sat]

Efectivamente, pero me parece sospechoso que tuviera Googleupdater.exe y Googleupdate.exe...



Cuando lo recibamos lo examinaremos a pesar del preanalisis de VirusTotal, pues aunque es dificil, siempre hay la posibiklidad de un nuevo bicho que aun nadie controle...



Y dime si con los cambios que has hecho del antivirus y demás, ya va rápido, que es el fin que intentamos y lo del cortafuegos, si el avira no lleva ninguno pues dejalo, siempre que no colisione ni ralentice.



Comentanos como va ahora la velocidad, gracias



saludos



ms, 4-7-2009

[Victor Barragan]

Estimado MSC, te tengo muy buenas noticias. El culpable de todo este despelote era el nuevo programa "Security Essentials" de Microsoft que había instalado recientemente. Lo desintalé et voila, todo se arregló. Me di cuenta de ello porque el maldito programa estaba consumiendo mucha memoria. Te agradezco todo el tiempo que le dedicaste a mi problema. Que tengas un no muy caluroso verano. Como algo muy raro, en la madrugada de hoy tuvimos un temblor de 6 grados en el Caribe panameño que puso en alerta toda la población del litoral del Pacífico. Nuevamente gracias por todo. VB

[msc hotline sat]

Vaya con el "Security Essentials" de Microsoft ! Gracias por decirnoslo, todo es experiencia...



Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 5-7-2009