total security 4.52 (SOLUCIONADO)

[muscartk]

Wenos dias, antes de nada decir que desde ayer llevo trasteando para eliminar el total security 4.52, por lo menos he conseguido que no salte la falsa ventana, pero no se si esta eliminado del todo o queda algun resto, el ordenador lo noto raro, me gustaria me pudieran ayudar en la medida de lo posible a realizar alguna comprobacion de infeccion, el nod32 no me detecta nada, el elistara tampoco, alguna sugerencia???



Gracias de antemano.

[msc hotline sat]

Prueba el ELISTARA:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



y si no conociera dicha variante, posteanos el informe generado por el SPROCES:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 25-8-2009

[muscartk]

Elistara no ha detectado nada...





(25-8-2009 09:58:41 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: ACER-2DC422319B

Nombre Usuario: MiSCo



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\EVTENG.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\S24EVMON.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGITECH\LVMVFM\LVPRCSRV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ADMSERV.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPLPR.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\PROGRAM FILES\ACER\ACER ARCADE\PCMSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ACER\EMPOWERING TECHNOLOGY\EDATASECURITY\EDSLOADER.EXE

C:\ACER\EMPOWERING TECHNOLOGY\EPOWER\EPOWER_DMC.EXE

C:\ARCHIV~1\LAUNCH~1\QTZGACER.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ERECOVERY\MONITOR.EXE

C:\WINDOWS\SYSTEM32\LVCOMSX.EXE

C:\ARCHIVOS DE PROGRAMA\ACER\ORBICAM\CAMERAASSISTANT.EXE

C:\PROGRAM FILES\ACER\ACER ARCADE\KERNEL\TV\CLCAPSVC.EXE

C:\WINDOWS\SYSTEM32\ELKCTRL.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ADMTRAY.EXE

C:\PROGRAM FILES\ACER\ACER ARCADE\KERNEL\CLML_NTSERVICE\CLMLSERVER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\PROGRAM FILES\ACER\ACER ARCADE\KERNEL\CLML_NTSERVICE\CLMLSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 7\PCSUITE.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\REGSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\ACER\ACER ARCADE\KERNEL\TV\CLSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLUSBSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLIRSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE

C:\WINDOWS\SYSTEM32\WBEM\UNSECAPP.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIVOS DE PROGRAMA\TOTALCMD\TOTALCMD.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

D:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Archivos de programa\Acer\OrbiCam\CameraAssistant.exe

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Archivos de programa\Acer\OrbiCam\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [16127504] C:\Documents and Settings\All Users\Datos de programa\16127504\16127504.exe

O4 - Startup: desktop.ini

O4 - Startup: ikowin32.exe

O4 - Global Startup: desktop.ini

O4 - Global Startup: Adobe Reader Speed Launch.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} - http://www.clubbox.co.kr/neo.fld/NowStarter.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228604008437

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1240048843859

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.5.0_07) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.4.9.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: Acer EPM Power Scheme Driver (EpmPsd) - Acer Value Labs, USA - C:\WINDOWS\system32\drivers\epm-psd.sys

O23 - Service: Acer EPM System Hardware Driver (EpmShd) - Acer Value Labs, USA - C:\WINDOWS\system32\drivers\epm-shd.sys

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: int15.sys - Unknown owner - C:\Acer\Empowering Technology\eRecovery\int15.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\archivos de programa\archivos comunes\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: osaio - OSA Technologies, An Avocent Company - C:\WINDOWS\system32\drivers\osaio.sys

O23 - Service: osanbm - Windows (R) 2000 DDK provider - C:\WINDOWS\system32\drivers\osanbm.sys

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Transporte WLAN (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: AVerM115 service (AVerM115) - AVerMedia TECHNOLOGIES, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\AVerM115.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys

O23 - Service: cglptnt - C. Ghisler & Co. - C:\Archivos de programa\totalcmd\cglptnt.sys

O23 - Service: Dritek Keyboard Filter Driver (DKbFltr) - Dritek System Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\DKbFltr.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWAZL.sys

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DPV.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Logitech USB PC Camera (VC0321) (lv321av) - Logitech - C:\WINDOWS\SYSTEM32\Drivers\lv321av.sys

O23 - Service: Logitech Machine Vision Engine Loader (lvmvdrv) - Logitech - C:\WINDOWS\system32\drivers\lvmvdrv.sys

O23 - Service: Logitech LVPrcMon Driver (LVPrcMon) - Logitech - C:\WINDOWS\system32\drivers\LVPrcMon.sys

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech - C:\WINDOWS\SYSTEM32\drivers\lvusbsta.sys

O23 - Service: OSA NdisFilter Protocol (NdisFilt) - OSA Technologies - C:\WINDOWS\SYSTEM32\Drivers\NdisFilt.sys

O23 - Service: Acer NetMonitor Protocol (NETMNT) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\NETMNT.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Netgroup Packet Filter (NPF) - CACE Technologies - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: Upper Class Filter Driver (NTIDrvr) - NewTech Infosystems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NTIDrvr.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\WINDOWS\SYSTEM32\%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SMSC CIR HID Miniport Device Driver (SMCB000) - SMSC - C:\WINDOWS\SYSTEM32\DRIVERS\hidsmsc.sys

O23 - Service: SMSC IrCC Miniport Device Driver (SMCIRDA) - SMSC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: Virtual Serial Bus Enumerator (vsbus) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vsb.sys

O23 - Service: ELTIMA Virtual Serial Ports Driver (vserial) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vserial.sys

O23 - Service: Intel(R) PRO/Wireless 3945ABG Adapter Driver (w39n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w39n51.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



69 Servicios.

24 de Carga Automatica.

42 de Carga Manual.

3 Deshabilitados.

[msc hotline sat]

Pues hay dos ficheros sispechosos:



C:\Documents and Settings\All Users\Datos de programa\16127504\16127504.exe



ikowin32.exe





Envienoslos para analizar y tras examinarlos procederemos a implementar su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 25-8-2009

[muscartk]

C:\Documents and Settings\All Users\Datos de programa\16127504\16127504.exe

Esta entrada ya no aparece en mi pc, anoche supuse que podia ser el susodicho y opte por parar el proceso y eliminarlo, por lo tanto ahora no esta, por eso le comente que ya no salian las ventanas.



ikowin32.exe

De esto si le he enviado la muestra para su comprobacion.



Espero noticias de que puedo hacer ya que por lo visto la entrada sigue siendo cargada...



Saludos.

[msc hotline sat]

Recibido el fichero, la contraseña no es " virus "



Diganos qué contraseña ha puesto ...



Y recuerde lo que decimos para los envios de muestras: https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 25-8-2009

[muscartk]

Contraseña "virus" lo he puesto con las comillas, quizas sea por eso.

[msc hotline sat]

Claro, pues lo hemos probado con combinaciones de mayusculas y minusculas, pero lo de las comillas nos ha faltado :mrgreen:



vamos a por él.

[msc hotline sat]

Efectivamente, el preanalisis detecta virus:



File ikowin32.exe received on 2009.08.25 12:46:54 (UTC)





Result: 10/41 (24.4%)



Antivirus Version Last Update Result

a-squared 4.5.0.24 2009.08.25 Backdoor.Win32.Bredolab!IK

AhnLab-V3 5.0.0.2 2009.08.24 -

AntiVir 7.9.1.3 2009.08.25 BDS/Bredolab.KV

Antiy-AVL 2.0.3.7 2009.08.24 -

Authentium 5.1.2.4 2009.08.25 -

Avast 4.8.1335.0 2009.08.24 -

AVG 8.5.0.406 2009.08.25 SHeur2.AYTR

BitDefender 7.2 2009.08.25 -

CAT-QuickHeal 10.00 2009.08.25 -

ClamAV 0.94.1 2009.08.25 -

Comodo 2090 2009.08.25 TrojWare.Win32.Trojan.Agent.Gen

DrWeb 5.0.0.12182 2009.08.25 -

eSafe 7.0.17.0 2009.08.24 Suspicious File

eTrust-Vet 31.6.6699 2009.08.25 -

F-Prot 4.4.4.56 2009.08.24 -

F-Secure 8.0.14470.0 2009.08.25 -

Fortinet 3.120.0.0 2009.08.25 -

GData 19 2009.08.25 -

Ikarus T3.1.1.68.0 2009.08.25 Backdoor.Win32.Bredolab

Jiangmin 11.0.800 2009.08.25 -

K7AntiVirus 7.10.826 2009.08.24 -

Kaspersky 7.0.0.125 2009.08.25 Backdoor.Win32.Bredolab.kv

McAfee 5719 2009.08.24 -

McAfee+Artemis 5719 2009.08.24 -

McAfee-GW-Edition 6.8.5 2009.08.25 Trojan.Backdoor.Bredolab.KV

Microsoft 1.4903 2009.08.25 TrojanDownloader:Win32/Bredolab.X

NOD32 4365 2009.08.25 -

Norman 2009.08.25 -

nProtect 2009.1.8.0 2009.08.25 -

Panda 10.0.2.2 2009.08.25 Suspicious file

PCTools 4.4.2.0 2009.08.25 -

Prevx 3.0 2009.08.25 -

Rising 21.44.11.00 2009.08.25 -

Sophos 4.44.0 2009.08.25 -

Sunbelt 3.2.1858.2 2009.08.25 -

Symantec 1.4.4.12 2009.08.25 -

TheHacker 6.3.4.3.387 2009.08.25 -

TrendMicro 8.950.0.1094 2009.08.25 -

VBA32 3.12.10.10 2009.08.25 -

ViRobot 2009.8.25.1901 2009.08.25 -

VirusBuster 4.6.5.0 2009.08.24 -

Additional information

File size: 23040 bytes

MD5...: 742a649d056bb9a25f5be4dcf934e9b0

SHA1..: 5e49706030a09c7dd83f9d997c450562dc227bfa







Ya puede añadir .VIR a la extension de dicho fichero y asi no se cargará en el proximo arranque.



Tras ello reinicie y diganos si se ha solucionado provisionalmente la anomalia



Mañana (hoy terminamos la jornada dentro de 5 minutos) lo monitorizaremos e implementaremos su control y eliminacion en el proximo ELISTARA 19.13



SALUDOS



MS, 25-8-2009

[muscartk]

Puesta la extension .vir al fichero y despues del reinicio el nod32 me a detectado esto:



Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información

25/08/2009 14:08:52 AMON Archivo C:\WINDOWS\Temp\wpv071251147846.exe Probablemente una variante modificada de (Gusano de Internet) Win32/Nuwar Puesto en cuarentena - Eliminado ACER-2DC422319B\MiSCo Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\system32\svchost.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.



Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información

25/08/2009 14:08:42 AMON Archivo C:\WINDOWS\Temp\wpv221251033318.exe Variante modificada de Win32/Rustock.NKU (Troyano) Puesto en cuarentena - Eliminado ACER-2DC422319B\MiSCo Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\system32\svchost.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.



Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información

25/08/2009 14:08:38 AMON Archivo C:\WINDOWS\Temp\wpv811250826839.exe Variante modificada de Win32/Kryptik.AFX (Troyano) Puesto en cuarentena - Eliminado ACER-2DC422319B\MiSCo Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\system32\svchost.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.



Esperaremos a mañana a ver si de una vez por todas se puede eliminar.



Muchas gracias por su ayuda y espero su respuesta...

[muscartk]

Otra cosa que acabo de notar es al abrir el messenger, me sale un recuadro el cual se va llenando como si estuviera cargando algo y al finalizar me sale otro recuadro que pone: No se puede abrir la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Drivers32. Compruebe que dispone de suficientes derechos de acceso a esta clave o pongase en contacto con el personal de soporte tecnico. Y el boton de aceptar, al aceotar es como si todo lo que cargara antes lo hiciera al contrario, lo descargara, se va la pantalla y arranca el Windows live messenger, pero no he entrado por si acaso...



Espero su respuesta.



Saludos

[msc hotline sat]

Sí, mañana seguiremos donde lo dejamos, que hoy no ha habido tiempo material para proceder a su monitorizacion y control



Tras elo, informaremos al respecto.



saludos



ms, 25-8-2009

[msc hotline sat]

Pues analizada y monitorizada la muestra, pasamos a controlarla como BRELOLAB con el ELISTARA de hoy 19.13, que subiremos a esta web esta tarde a las 15 h , para pruebas de evaluaicon en el foro de zonavirus


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



Tras descargarla y probarla, posteanos el informe resultante, gracias



saludos



ms, 26-8-2009

[muscartk]

Otra cosita que he podido notar hoy, es que al conectar el pendrive no me hace el sonidito de conectado o desconectado, tampoco me suena la musica de las paginas webs visitadas, pero los mp3 si que se escuchan, aparte de eso tambien a desaparecido el control de volumen del area de notificacion.



Paso a realizar la prueba del elistara.

[msc hotline sat]

Te decimos que el ELISTARA que necesitas lo estamos haciendo, que a partir de las 15 horas estará en la web, no ahora.



Esta tarde lo descargas, lo pruebas y nos posteas el resultado



saludos



ms, 26-8-2009

[muscartk]

jajajaaj bueno vale vaaaaa.... ya lo habia descargado, me espero a la hora que dices... para pasar el nuevo.

[msc hotline sat]

Venga, ya se ha subido, descargala, pruebala y posteanos el informe resultante.



saludos



ms, 26-8-2009

[muscartk]

(26-8-2009 13:04:27 (GMT))

EliStartPage v19.13 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Agosto del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(26-8-2009 13:04:33 (GMT))

EliStartPage v19.13 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Agosto del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\MiSCo\Menú Inicio\Programas\Inicio\IKOWIN32.VIR --> Eliminado, Bredolab.KV(dldr)

C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP541\A0107053.EXE --> Eliminado, Bredolab.KV(dldr)

C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP541\A0107069.EXE --> Eliminado, Bredolab.KV(dldr)

C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP541\A0107289.EXE --> Eliminado, Bredolab.KV(dldr)



Nº Total de Directorios: 5819

Nº Total de Ficheros: 67452

Nº de Ficheros Analizados: 28446

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

[muscartk]

Sigo teniendo el problema del sonido y del messenger como ya le comente anteriormente, se podria solucionar de alguna manera?



Mirando el registro de windows me encuentro por ahi con esto:



[HKEY_USERS\S-1-5-21-2967562240-1793952204-4024664814-1006\Software\Microsoft\Search Assistant\ACMru\5603]

"000"="ikowin"

"001"="16127504"

"002"="combo"

"003"="ikowin.vir"

"004"="ikowin.exe"

"005"="sc2c21uvvm.exe"

"006"="tsc.exe"

"007"="tsc"



[HKEY_LOCAL_MACHINE\SOFTWARE\16127504]

"pc16127504ins"=dword:00000001



[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]

"000"="ikowin"

"001"="16127504"

"002"="combo"

"003"="ikowin.vir"

"004"="ikowin.exe"

"005"="sc2c21uvvm.exe"

"006"="tsc.exe"

"007"="tsc"



[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]

"000"="ikowin"

"001"="16127504"

"002"="combo"

"003"="ikowin.vir"

"004"="ikowin.exe"

"005"="sc2c21uvvm.exe"

"006"="tsc.exe"

"007"="tsc"

[msc hotline sat]

Pues visto que, además, afectó a muchas posiciones del registro, lo mejor sería restaurar sistema a un punto anterior al problema, lo cual restauraría dichas claves.



saludos



ms, 26-8-2009

[muscartk]

Pues despues de intentar varias veces con dias distintos siempre me dice que no se puede restaurar el sistema,es necesario desactivar la opción restaurar sistema para poder realizarla o se hace directamente?, a ver si lo puedo conseguir con su ayuda. Me tira este error despues de la carga de windows sin restaurarse claro esta: la operación solicitada no se puede realizar en un archivo con una sección asignada a usuario abierta.

[msc hotline sat]

Noooo ! Si desactiva la restauracion de sistema , perderá la posibilidad de restauración.



Pruebalo a través del ELRSTRUI.EXE :



DESCARGA DE ELRSTRUI.EXE

http://www.zonavirus.com/datos/descargas/258/elrstruiexe.asp





y si aparece en el calendario alguna fecha anterior al problema, remarcada, restaura a dicho punto.

Comentanos el resultado, gracias



saludos



ms, 26-8-2009

[muscartk]

Cuando cargo el srestore me sale una ventana que me indica la restauracion del sistema esta activada y me da la opcion de desactivarla o salir, pregunto: lo que tengo que hacer es desactivarla, intentar restaurar a un punto anterior y despues volverla a activar con el mismo srestore? Es que la verdad es la primera vez que me toca hacer esto en muchos años.

[lucl]

Tienes que restaurar a un punto anterior sin desactivar la restauracion del sistema. Fijate lo que te dice MSC te copio





[b]Noooo ! Si desactiva la restauracion de sistema , perderá la posibilidad de restauración.[/b]Pruebalo a través del ELRSTRUI.EXE :



DESCARGA DE ELRSTRUI.EXE

http://www.zonavirus.com/datos/descarga ... ruiexe.asp





[b]y si aparece en el calendario alguna fecha anterior al problema, remarcada, restaura a dicho punto.[/b]

Comentanos el resultado, gracias

[muscartk]

Sigo sin entenderlo, el ELRSTRUI.EXE lo he descargado y la unica opcion que me da es la de desactivar como ya he dicho asi que no tengo ni diea de que es lo que tengo que hacer, porque mas opciones no da, a ver si me lo explicas un poco mejor, sino esperare a mañana a ver si msc me saca de la duda, de todas formas gracias.

[msc hotline sat]

La utilidad ELRSTRUI.EXE facilita el acceso al RSTRUI.EXE de Microsoft, que sirve para crear puntos de restauracion y restaurar los guardados.



Si bajando en dicha aplicacion no te aparece ninguna fecha salvada, es que no la creaste, y entonces logicamente no la tienes disponible para restaurar-



Comprueba las fechas en negrita del calendario que te visualiza dicha aplicacion de microsoft, que creo que es tu carta a jugar.



saludos



ms, 27-6-2009

[muscartk]

Pero el ELRSTRUI.EXE y el SRESTORE.EXE es lo mismo???? porque cuando pincho en el enlace que usted me pone me lleva al SRESTORE no al ELRSTRUI.EXE y como ya dije mas arriba el SRESTORE solo sirve para desactivar o activar la restauracion del sistema.

[msc hotline sat]

No tienen nada que ver, pero tienes razón, dos links totalmente diferentes van a parar al mismo sitio:



[url]http://www.zonavirus.com/datos/descargas/258/elrstruiexe.asp[/url]



[url]http://www.zonavirus.com/descargas/srestore.asp[/url]





Por lo visto algo está cruzando las ideas :) ... usa este otro link que voy a buscar para el ELRSTRUI:



Pues no la he encontrado, voy a poner un privado a ADMIN a ver si nos echa un cable...



saludos



ms, 27-8-2009

[muscartk]

Ok, espero ese link.

[msc hotline sat]

A ver si ADMIN lo pone, porque ha hecho mejoras en la web que deben haber afectado a dicho fichero/link.



saludos



ms, 27-8-2009