Datos del Registro Infectado imposible eliminar (SOLUCIONADO)

[DUE03]

Buenas noches;



Os comento, actualmente en el Pc cuando le paso el programa Malwarebytes AntiMalvare y realizo un escaneo completo, me detecta lo siguiente:

Elementos de Datos del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.



Lo elimino, pero al acceder a Internet y volver a pasar un escaneo rápido me vuelve aparecer dicho Registro infectado.



No se en que afecta a mi Pc, pero me gustaria dejarlo limpio.



Os remito el informe del programa Malwarebytes AntiMalvare

Malwarebytes' Anti-Malware 1.39

Versión de la Base de Datos: 2495

Windows 5.1.2600 Service Pack 3



17/08/2009 22:55:13

mbam-log-2009-08-17 (22-54-58).txt



Tipo de examen : Examen Completo (C:\|)

Objetos examinados: 195698

Tiempo transcurrido: 1 hour(s), 41 minute(s), 36 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 1

Carpetas Infectadas: 0

Ficheros Infectados: 0



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)



Valores del Registro Infectados:

(No se han detectado elementos maliciosos)



Elementos de Datos del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

(No se han detectado elementos maliciosos)



A la espera de noticias.



Muchas gracias

[lucl]

Pues vamos a ver si algun trojano esta por ahi dando guerra. Usa estas herramientas que te indico y peganos el log que te dejaran en C infosat.txt saludos.





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[DUE03]

Siguiendo indicaciones, te comento lo realizado.



1. Al descargar el programa Elistara, mi Antivirus SYMANTEC ANTIVIRUS lo detecta como una amenaza troyana "TROJAN.FAKEAVALERT", por lo pase a descargar el 2 programa Elitriip.



2. Te adjunto el reporte log, del programa Elitriip:



(18-8-2009 13:03:32) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"



(18-8-2009 13:05:25) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9780

Nº Total de Ficheros: 111423

Nº de Ficheros Analizados: 23207

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 14:06:11 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\_ID.DAT --> Eliminado (Fichero Complementario).

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

******************************************************

Como me he dado cuenta al instalar el ELISTARA estaba activado mi Antivirus, luego he dasactivado, pero al ejecutar el programa Elistara se queda en pantalla Restaurando Registro de Pantalla, por lo que no puedo avanzar en el informe.



Comentarte que en mi Pc tengo marcada la casilla de "Desactivar Restaurar sistema en todas las Unidades".



A la espera de noticias.

Saludos

[lucl]

Lo del elistara es un falso positivo no debes preocuparte. Arranca el pc en modo seguro y pasa elistara. Y lo de la desactivacion de restaurar sistema cuando soluciones esto vuelve a activarla es importante saludos

[DUE03]

Buenas;



Imposible pasar el programa Elistara, he arrancado en modo seguro y al ejecutarlo se queda en una pantalla que indica Restaurando Registro de Pantalla y con el reloj de arena pensando. Con el Administrador de Tareas el proceso utiliza el 100% de la máquina, no se si será por eso que se quede colgado.



Aunque tengo desactivado el Antivirus, comentarte que al volver a arrancar el equipo, el sistema ha procedido a eliminar dicho ejecutable.



A la espera de noticias.

[lucl]

Vas a descargate esta herramienta que nos dira que procesos tienes en marcha y cuales no. Porque que elistara te ocupe el cien por cien no es normal. Te saldra un cuadrito cuando lo ejecutes, le das a salir y luego nos pegas el sproclog.txt que te dejara en C saludos





http://www.zonavirus.com/descargas/sproces.asp

[DUE03]

Buenas;



Te adjunto el blog del programa SProces:

Al pegarlo me he pasado de caracteres, por lo que te he borrado los registros con nomenclatura de "01-hosts: 127.0.0.1", ya que eran un motón de lineas, recuerdo que al pasar el programa Elitriip salio una ventana si borraba ficheros HOSTS, como no sabia que era indique que no.



Bueno ya me comentas, que pasos debo de realizar, como si te tengo que enviar los registros Hosts o si procedo a eliminarlos.



(20-8-2009 08:05:51 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Nombre Equipo: PERSONAL

Nombre Usuario: Usuario



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC ANTIVIRUS\DEFWATCH.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC ANTIVIRUS\RTVSCAN.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\ARCHIV~1\SYMANT~1\VPTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Juegos On Line - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - (no file)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1247437671656

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5651/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6E702275-0B63-4A39-8B74-83EEE1417FE6}: NameServer = 212.49.128.65,212.49.128.66

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\MSERO.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: NAVLOGON - C:\WINDOWS\SYSTEM32\NAVLOGON.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - (no file)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio Google Update (gupdate1c9c997daf3ee16) (gupdate1c9c997daf3ee16) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SAVRTPEL - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Savrtpel.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: BCM V.92 56K Modem (BCMModem) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\BCMSM.sys

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Adapter Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Controlador de adaptador 3Com EtherLink XL 90XB/C (EL90XBC) - 3Com Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\el90xbc5.sys

O23 - Service: GEAR CDRom Filter (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: jatmlano - Unknown owner - C:\DOCUME~1\Usuario\CONFIG~1\Temp\jatmlano.sys (file missing)

O23 - Service: NAVENG - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20090726.005\naveng.sys

O23 - Service: NAVEX15 - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20090726.005\navex15.sys

O23 - Service: NIC Management Service Configuration Driver (NMSCFG) - Intel Corporation - C:\WINDOWS\system32\drivers\NMSCFG.SYS

O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Sony Digital Imaging Video2 (sonypvs1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sonypvs1.sys

O23 - Service: SymEvent - Symantec Corporation - C:\Archivos de programa\Symantec\SYMEVENT.SYS

O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: AliIde - Acer Laboratories Inc. - C:\WINDOWS\System32\DRIVERS\aliide.sys

O23 - Service: Controlador de filtro de bus AMD AGP (amdagp) - Advanced Micro Devices, Inc. - C:\WINDOWS\System32\DRIVERS\amdagp.sys

O23 - Service: asc - Advanced System Products, Inc. - C:\WINDOWS\System32\DRIVERS\asc.sys

O23 - Service: asc3550 - Advanced System Products, Inc. - C:\WINDOWS\System32\DRIVERS\asc3550.sys

O23 - Service: CmdIde - CMD Technology, Inc. - C:\WINDOWS\System32\DRIVERS\cmdide.sys

O23 - Service: dac2w2k - Mylex Corporation - C:\WINDOWS\System32\DRIVERS\dac2w2k.sys

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: mraid35x - American Megatrends Inc. - C:\WINDOWS\System32\DRIVERS\mraid35x.sys

O23 - Service: ql1080 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql1080.sys

O23 - Service: ql12160 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql12160.sys

O23 - Service: ql1280 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql1280.sys

O23 - Service: Filtro de bus SIS AGP (sisagp) - Silicon Integrated Systems Corporation - C:\WINDOWS\System32\DRIVERS\sisagp.sys

O23 - Service: Sparrow - Adaptec, Inc. - C:\WINDOWS\System32\DRIVERS\sparrow.sys

O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\System32\DRIVERS\symc810.sys

O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\System32\DRIVERS\symc8xx.sys

O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\System32\DRIVERS\sym_hi.sys

O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\System32\DRIVERS\sym_u3.sys

O23 - Service: ultra - Promise Technology, Inc. - C:\WINDOWS\System32\DRIVERS\ultra.sys



60 Servicios.

11 de Carga Automatica.

29 de Carga Manual.

20 Deshabilitados.

[msc hotline sat]

Pues hay dos claves que podrías eliminar:





Esta parece ser de un TROJAN BACKDOOR:



O23 - Service: jatmlano - Unknown owner - C:\DOCUME~1\Usuario\CONFIG~1\Temp\jatmlano.sys (file missing)



segun http://www.greatis.com/appdata/d/j/jatmlano.sys.htm







y esta parece ser de un ROOTKIT:



O23 - Service: NIC Management Service Configuration Driver (NMSCFG) - Intel Corporation - C:\WINDOWS\system32\drivers\NMSCFG.SYS



mira en http://www.prevx.com/filenames/X3191642416060615457-X1/NMSCFG.SYS.html





Puedes probar el ELISERV para eliminarlas, ya que son de servicios, indicando:



jatmlano



NIC Management Service Configuration Driver





Para descargar ELISERV:

http://www.zonavirus.com/datos/descargas/273/eliservexe.asp





Tras ello, reinicia y cuentanos el resultado, gracias



saludos



ms, 20-8-2009

[DUE03]

Hola;



He descargado el programa ELISERV y han sido eliminados los servicios indicados (jatmlano y NIC Management Service Configuration Driver).



Luego he reiniciado el equipo y cuando le paso el programa Malwarebytes AntiMalvare me detecta lo de siempre.

Elementos de Datos del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.



Comentarte que antes de pasar el programa Malwarebytes AntiMalvare, he limpiado el registro con los siguientes programas: EasyCleaner, Ccleaner y con Regseeker



Anteriormente, os comente si podia eliminar los ficheros HOTS con el programa Elitriip, pero no he recibido respuesta.



A la espera de noticias.

[msc hotline sat]

Sí, claro, las entradas no voluntarias en el HOSTS las puedes eliminar del registro o borrandolas del fichero HOSTS que está en c:\windows\system32\drivers\etc\



solo deja la de 127.0.0.1 LOCAL HOST



Por lo demas, no uso este antimalware, si quieres salir de duda sobre si es una falsa alarma o qué, lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 20-8-2009

[DUE03]

Hola;



No ha sido posible pasar el antivirus Online KASPERSKY , ejecutado tanto en Pc como en Modo seguro con conexión a Red, aparece el siguiente mensaje:



Fallo de actualización no se puede iniciar el programa. Cierre la ventana de Kaspersky Online Scanner 7.0 y ejecute de nuevo el programa desde el sitio Web de Kaspersky Lab.



Para actulizar con éxito Kaspersky Online Scanner 7.0 y analizar su equipo es necesaria una conexión Internet initerrumpida. Asegúrese de que la conexión Internet está establecida. Error: La Licencia ha caducado.



En cuanto a las entradas HOSTS que estan en c:\windows\system32\drivers\etc\ me aparecen los siguientes archivos.

HOSTS

hosts.20081007-220725.backup

hosts.20081007-220829.backup

LMHOSTS.SAM

NETWORKS

PROTOCOL

SERVICES



bueno, dime si quieres que te pase otro Antivirus Online y que archivos Hosts borro, si consideras necesario que los borre.........



Saludos.

[DUE03]

Al final pude escanear el Pc con el antivirus Kaspersky y te adjunto el informe.



KASPERSKY ONLINE SCANNER 7.0: scan report

Friday, August 21, 2009

Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Friday, August 21, 2009 00:51:11

Records in database: 2667526





Scan settings

scan using the following database extended

Scan archives yes

Scan e-mail databases yes



Scan area My Computer

A:\

C:\

D:\

E:\

F:\



Scan statistics

Objects scanned 117566

Threats found 0

Infected objects found 0

Suspicious objects found 0

Scan duration 04:08:41



No threats found. Scanned area is clean.

Selected area has been scanned.

**********************************************************************

Entonces quiere decir que lo que me detecta el Malwarebytes antimalware, es una falsa alarma ?



Indicarte que en su día el equipo en el mes de Junio se infecto con un par de troyanos, que procedi a eliminar leyendo vuestro foro, a dia de hoy el Pc aparentemente funciona correctamente, pero no estaba del todo seguro, ya que una vez limpio, me descargue el Malwarebytes Antimalware, que me detecto además del fichero comentado otra lista de registros infectados que si se han eliminado correctamente, excepto el comentado en este foro, además cuando me conectaba a Internet si pasaba el SuperaAntiSpayware me detectaba un par de cookies que siempre tenia que eliminar, ayer lo pase y me dio informe limpio, puede ser que era que detectaba los servicios Q23?.

También cuando pasaba el Panda Antivirus ONline me detectaba que estaba infectado por un par de cookies.



Cuando le paso con mi Antivirus Symantec un escaneo completo, me indica que esta todo correcto.



Comentame si tengo que pasar algún otro programa y si ya me puedo quedar tranquilo.



Muchas gracias por todo.

[msc hotline sat]

Las cookies no son mas que registros de seguimiento , que aunque inocuas, si son de troyanos, algunos antivirus las detectan como malwares, ni caso.



Y este registro mas de lo mismo, si no te afecta al comportamiento del equipo, puede ser provocada por alguna aplicacion residente o configuracion personal, y si tanto Symantec como Kaspersky lo detectan limpio, consideralo asi.



Y dando por solucionado el Tema, procedemos a cerrarlo.



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 21-8-2009

[DUE03]

Ok, pero antes de finalizar este asunto, te adjunto las cookies que me detecto el Panda antivirus Online en el mes de Julio y que a fecha de hoy también me detecta el SuperaAntiSpayware, estas cookies "Serving-sys" son maliciosas, son peligrosas? no se pueden eliminar del todo, sino puedo eliminarlas cada vez que me conecte a Internet debo eliminarlas con los programas que me lo detectan todos los días.



A la espera de noticias y muchas gracias por todo.





ANALYSIS: 2009-07-26 14:51:53

PROTECTIONS: 1

MALWARE: 2

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Symantec AntiVirus Corporate Edition 9.0.2.1000 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Usuario\Cookies\usuario@serving-sys[2].txt

00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Usuario\Cookies\usuario@bs.serving-sys[1].txt

[msc hotline sat]

Las cookies no son necesariamente maliciosas, pero si queres puedes borrarlas :



I.E. -> Herramientas -> Opciones de Internet -> General -> Eliminar temporales y cookies





Y con ello damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 22-8-2009