VIRUS CTFMON32 (SOLUCIONADO)

[laspiur]

hola me aparece esta pantalla al iniciar windows:

[img]http://lh5.ggpht.com/_1TgeYsaagRo/SvhxYYXraQI/AAAAAAAAAFI/J-_roi0CTb8/virus_ctf.JPG[/img]



aparentemente es un virus de cool web search, pero no se como eliminarlo.

Alguien sabe como hacerlo??

[msc hotline sat]

De entrada añade .VIR a la extension de este CTFMON32.EXE



Luego reinicia y envianoslo para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-11-1009

[laspiur]

El problema es que no existe tal archivo, solo existen algunas claves en el registro:



Nombre: D:\WINDOWS\system32:ctfmon32.exe

Valor: Ingresa un usuario y contraseña validos para actualizar NOD32

Ubicacion: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache





Nombre: StubPath

Valor: D:\WINDOWS\system32:ctfmon32.exe

Ubicacion: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{42E0E885-BA78-6931-138B-1BE811236D6B}





Nombre: ctfmon32

Valor: D:\WINDOWS\system32:ctfmon32.exe

Ubicacion: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run





Cuando intento borrar esas claves, me las vuelve a crear, por lo que supongo que hay algun programa de fondo que esta corriendo para tal fin. Tengo el antivirus NOD32 4 actualizado. Windows Xp SP3 en ingles. Otra cosa, el virus no me deja escribir con acentos.

[msc hotline sat]

Vamos a atacar por tres lados:



1.- pruebe con el ELIMOVER si encuentra y copia este CTFMON32.EXE a C:\muestras, desde donde poder enviarnoslo



DESCARGA DE ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



indique la ruta C:\windows\system32\CTFMON32.EXE





_____





2.- pruebe la ultima version del ELISTARA y posteenos el informe resultante:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



____



3.- Posteenos el informe resultante del SPROCES:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 10-11-2009

[laspiur]

1: El programa dice que no encuentra el fichero, ademas tengo instalado windows en la unidad D:



2:

Infosat.txt:





(10-11-2009 16:04:50 (GMT))

EliStartPage v19.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "CTFMON32"="D:\WINDOWS\system32:ctfmon32.exe"

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



3: el informe sproclog.txt va adjunto

[msc hotline sat]

Ufff , ya ves que te faltan muchos parches :



No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



lanza un windowsupdate e instala los pendientes, sino estás agujereado por todas partes :) !



y respecto al 1er punto, supongo que si operas con el D:, la ruta que indicas en el ELIMOVER es:



d:\windows\system32\CTFMON32.EXE





y voy a mirar el log:





(10-11-2009 16:05:57 GMT)

SProces v4.2 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3, v.3311

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: LGC-NOTEBOOK

Nombre Usuario: Leandro



Procesos Activos:

D:\WINDOWS\SYSTEM32\SMSS.EXE

D:\WINDOWS\SYSTEM32\WINLOGON.EXE

D:\WINDOWS\SYSTEM32\SERVICES.EXE

D:\WINDOWS\SYSTEM32\LSASS.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SPOOLSV.EXE

D:\WINDOWS\EXPLORER.EXE

D:\PROGRA~1\ALWILS~1\AVAST4\ASHDISP.EXE

D:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE

D:\PROGRAM FILES\ROCKWELL AUTOMATION\ROCKWELL AUTOMATION USB CIP DRIVER PACKAGE\USBCIPHELPER\USBCIPHELPER.EXE

D:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

D:\PROGRAM FILES\JAVA\JRE6\BIN\JUSCHED.EXE

D:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

D:\PROGRAM FILES\DAEMON TOOLS\DAEMON.EXE

D:\PROGRAM FILES\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

D:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

D:\PROGRA~1\MI3AA1~1\RAPIMGR.EXE

D:\PROGRAM FILES\COMMON FILES\ARCHESTRA\AALOGGER.EXE

D:\PROGRAM FILES\LAUNCHY\LAUNCHY.EXE

D:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

D:\PROGRAM FILES\ORBITDOWNLOADER\ORBITDM.EXE

D:\PROGRAM FILES\MICROSOFT SQL SERVER\80\TOOLS\BINN\SQLMANGR.EXE

D:\XAMPP\FILEZILLAFTP\FILEZILLASERVER.EXE

D:\PROGRAM FILES\GOMEZ\GOMEZPEER\BIN\GOMEZPEER.EXE

D:\PROGRAM FILES\MEMTURBO 4\MEMTURBO.EXE

D:\PROGRAM FILES\ORBITDOWNLOADER\ORBITNET.EXE

D:\PROGRAM FILES\COMMON FILES\ARCHESTRA\NTSERVAPP.EXE

D:\PROGRA~1\GOMEZ\GOMEZP~1\JRE\BIN\JAVA.EXE

D:\PROGRAM FILES\ROCKWELL SOFTWARE\RSCOMMON\RSOBSERV.EXE

D:\PROGRAM FILES\JAVA\JRE6\BIN\JQS.EXE

D:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

D:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL$MSDE\BINN\SQLSERVR.EXE

D:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL$SGI\BINN\SQLSERVR.EXE

D:\PROGRAM FILES\MYSQL\MYSQL SERVER 5.0\BIN\MYSQLD-NT.EXE

D:\PROGRA~1\ROCKWE~1\RSLINX\RSLINX.EXE

D:\PROGRAM FILES\COMMON FILES\ARCHESTRA\SLSSVC.EXE

D:\PROGRAM FILES\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\PROGRAM FILES\VMWARE\VMWARE WORKSTATION\VMWARE-AUTHD.EXE

D:\PROGRAM FILES\COMMON FILES\VMWARE\VMWARE VIRTUAL IMAGE EDITING\VMOUNT2.EXE

D:\WINDOWS\SYSTEM32\VMNAT.EXE

D:\WINDOWS\SYSTEM32\VMNETDHCP.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\PROGRAM FILES\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

D:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\OUTLOOK.EXE

D:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE

D:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

F:\INSTALADORES\CWSCHREDDER\ELISTARA.EXE

D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

D:\PROGRAM FILES\PANDO NETWORKS\PANDO\PANDO.EXE

F:\INSTALADORES\CWSCHREDDER\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - D:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=d:\windows\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 mpa.one.microsoft.com

.

.

.

O1 - Hosts: 127.0.0.1 wifisecurityscan.com

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Program Files\Orbitdownloader\orbitcth.dll

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - D:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [Google Update] "D:\Documents and Settings\Leandro\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Touchpad] D:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [UsbCipHelper] D:\Program Files\Rockwell Automation\Rockwell Automation USB CIP Driver Package\UsbCipHelper\UsbCipHelper.exe

O4 - HKLM\..\Run: [egui] "D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ctfmon32] D:\WINDOWS\system32:ctfmon32.exe

O4 - Startup: GomezPEER.lnk

O4 - Startup: MemTurbo.lnk

O4 - Global Startup: Bluetooth Monitor.lnk

O4 - Global Startup: Launchy.lnk

O4 - Global Startup: Orbit.lnk

O4 - Global Startup: Service Manager.lnk

O8 - Extra context menu item: &Download by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://D:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - D:\Program Files\PokerStars.NET\PokerStarsUpdate.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: D:\WINDOWS\SYSTEM32\WSHBTH.DLL

O16 - DPF: Microsoft XML Parser for Java - file:///D:/WINDOWS/Java/classes/xmldso.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - D:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - D:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - D:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: LMIINIT - LMIINIT.DLL

O20 - Winlogon Notify: PSFUS - D:\WINDOWS\SYSTEM32\PSQLPWD.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - D:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - D:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ArchestrA Logger (aaLogger) - Invensys Systems, Inc. - D:\Program Files\Common Files\ArchestrA\aaLogger.exe

O23 - Service: aswFsBlk - ALWIL Software - D:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - D:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: eamon - ESET - D:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - D:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - d:\xampp\filezillaftp\filezillaserver.exe

O23 - Service: FLE-5 WindowsNT Driver (FLE5WNNT) - Data Encryption Systems Limited - D:\WINDOWS\System32\Drivers\fle5wnnt.sys

O23 - Service: FLSIface (FLSIFACE) - Data Encryption Systems Limited - D:\WINDOWS\System32\Drivers\flsiface.sys

O23 - Service: FLSPar (FLSPAR) - Data Encryption Systems Limited - D:\WINDOWS\System32\Drivers\flspar.sys

O23 - Service: FLSSer (FLSSER) - Data Encryption Systems Limited - D:\WINDOWS\System32\Drivers\flsser.sys

O23 - Service: FLSVCom (FLSVCOM) - Data Encryption Systems Limited - D:\WINDOWS\System32\Drivers\flsvcom.sys

O23 - Service: FS Service Control - Wonderware Corporation - D:\Program Files\Common Files\ArchestrA\NTServApp.exe

O23 - Service: Servicio Google Update (gupdate1c9cac8bc746a57) (gupdate1c9cac8bc746a57) - Google Inc. - D:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: VMware hcmon (hcmon) - VMware, Inc. - D:\WINDOWS\system32\Drivers\hcmon.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - D:\Program Files\Java\jre6\bin\jqs.exe" -service -config "D:\Program Files\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LogMeIn Kernel Information Provider (LMIInfo) - LogMeIn, Inc. - D:\Program Files\LogMeIn\x86\RaInfo.sys

O23 - Service: LogMeIn Remote File System Driver (LMIRfsDriver) - LogMeIn, Inc. - D:\WINDOWS\system32\drivers\LMIRfsDriver.sys

O23 - Service: MySQL - Unknown owner - D:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt" --defaults-file="D:\Program Files\MySQL\MySQL Server 5.0\my.ini (file missing)

O23 - Service: ParLdr2k (PARLDR2K) - Data Encryption Systems Limited - D:\WINDOWS\system32\drivers\parldr2k.sys

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - D:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: RSLinx Classic (RSLinx) - Rockwell Automation, Inc. - D:\PROGRA~1\ROCKWE~1\RSLinx\RSLINX.EXE

O23 - Service: PROFINET IO RT-Protocol (s7snsrtx) - Siemens AG - D:\WINDOWS\SYSTEM32\DRIVERS\s7snsrtx.sys

O23 - Service: Sentinel - Rainbow Technologies, Inc. - D:\WINDOWS\System32\Drivers\SENTINEL.SYS

O23 - Service: Wonderware SuiteLink (slssvc) - Invensys Systems, Inc. - D:\Program Files\Common Files\ArchestrA\slssvc.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Program Files\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware Bridge Protocol (VMnetBridge) - VMware, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\vmnetbridge.sys

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - D:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Network Application Interface (VMnetuserif) - VMware, Inc. - D:\WINDOWS\system32\drivers\vmnetuserif.sys

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - D:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - D:\WINDOWS\system32\vmnat.exe

O23 - Service: VMware vmx86 (vmx86) - VMware, Inc. - D:\WINDOWS\system32\Drivers\vmx86.sys

O23 - Service: Vstor2 Virtual Storage Driver (vstor2) - VMware, Inc. - D:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys

O23 - Service: Vstor2 WS60 Virtual Storage Driver (vstor2-ws60) - VMware, Inc. - D:\Program Files\VMware\VMware Workstation\vstor2-ws60.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: TOSHIBA V92 Software Modem (AgereSoftModem) - Agere Systems - D:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Ambfilt - Creative - D:\WINDOWS\SYSTEM32\drivers\Ambfilt.sys

O23 - Service: AnyDVD - SlySoft, Inc. - D:\WINDOWS\SYSTEM32\Drivers\AnyDVD.sys

O23 - Service: cpuz128 - Unknown owner - D:\DOCUME~1\Leandro\LOCALS~1\Temp\pcwiz32.sys (file missing)

O23 - Service: DASSIDirect - Invensys Systems, Inc. - D:\Program Files\Wonderware\DAServer\DASSIDirect\Bin\DASSIDirect.exe

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - D:\WINDOWS\System32\dmadmin.exe

O23 - Service: dnWhoDisp - Rockwell Automation, Inc. - D:\Program Files\Rockwell Software\RSLINX\dnwhodisp.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ElbyDelay - Elaborate Bytes AG - D:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: Lavalys EVEREST Kernel Driver (EverestDriver) - Unknown owner - D:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt

O23 - Service: Harmony - Rockwell Automation, Inc. - D:\Program Files\Rockwell Software\RSCommon\RSOBSERV.EXE

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - D:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: igfx - Intel Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\igdkmd32.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - D:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: lmimirr - LogMeIn, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\lmimirr.sys

O23 - Service: Monfilt - Creative Technology Ltd. - D:\WINDOWS\SYSTEM32\drivers\Monfilt.sys

O23 - Service: Motorola USB CDC ACM Driver (motmodem) - Motorola - D:\WINDOWS\SYSTEM32\DRIVERS\motmodem.sys

O23 - Service: Intel(R) Wireless WiFi Link Adapter Driver for Windows XP 32 Bit (NETw4x32) - Intel Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\NETw4x32.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - D:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - D:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - D:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Nokia - D:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys

O23 - Service: NetGroup Packet Filter Driver (NPF) - CACE Technologies - D:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: OpcEnum - OPC Foundation - D:\WINDOWS\system32\OpcEnum.exe

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - D:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - D:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: RsiKtControl - Rockwell Software Inc. - D:\WINDOWS\system32\RSIKT.SYS

O23 - Service: RSLinx Classic Serial Driver (RSSERIAL) - Rockwell Software Inc. - D:\WINDOWS\SYSTEM32\RSSERIAL.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - D:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Prolific Serial port driver (Ser2pl) - Prolific Technology Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ser2pl.sys

O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

O23 - Service: tbiosdrv - Unknown owner - E:\tbiosdrv.sys (file missing)

O23 - Service: TC USB Kernel Driver (TcUsb) - UPEK Inc. - D:\WINDOWS\SYSTEM32\Drivers\tcusb.sys

*O23 - Service: Terminal Services (TermService) - Unknown owner - D:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tifm21 - Texas Instruments - D:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: Apache Tomcat (Tomcat6) - Apache Software Foundation - D:\Program Files\Apache Software Foundation\Tomcat 6.0\bin\tomcat6.exe

O23 - Service: Bluetooth ACPI (tosrfec) - TOSHIBA Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\tosrfec.sys

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - D:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - D:\Program Files\VMware\VMware Workstation\vmware-ufad.exe" -d "D:\Program Files\VMware\VMware Workstation\\" -s ufad-p2v.xm (file missing)

O23 - Service: upperdev - Nokia - D:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Nokia - D:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: UVCFTR - Chicony Electronics Co., Ltd. - D:\WINDOWS\SYSTEM32\DRIVERS\UVCFTR_S.SYS

O23 - Service: VirtualFD - Ken Kato - F:\instaladores\virtual floppy drivre\vfd21-050404\vfd.sys

O23 - Service: VMware kbd (vmkbd) - VMware, Inc. - D:\WINDOWS\system32\drivers\VMkbd.sys

O23 - Service: VMware Virtual Ethernet Adapter Driver (VMnetAdapter) - VMware, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\vmnetadapter.sys

O23 - Service: VMware USB Client Driver (vmusb) - VMware, Inc. - D:\WINDOWS\SYSTEM32\Drivers\vmusb.sys

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

O23 - Service: Wonderware NetDDE Helper (WWNetDDE) - Invensys Systems, Inc. - D:\Program Files\Common Files\ArchestrA\wwnetdde.exe

O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller (yukonwxp) - Marvell - D:\WINDOWS\SYSTEM32\DRIVERS\yk51x86.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - D:\WINDOWS\system32\agrsmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - D:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - D:\Program Files\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - D:\Program Files\LogMeIn\x86\LogMeIn.exe

O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe



99 Servicios.

35 de Carga Automatica.

54 de Carga Manual.

10 Deshabilitados.



lo demas es superfluo, ya que son entradas del spybot, a ver que mas vemos:





Pues no conocemos este



D:\PROGRAM FILES\ROCKWELL AUTOMATION\ROCKWELL AUTOMATION USB CIP DRIVER PACKAGE\USBCIPHELPER\USBCIPHELPER.EXE



Enviarnos muestra del mismo para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 10-11-2009

[laspiur]

Primero, el SP3 esta instalado, y mi maquina esta actualizada con lo ultimo de windows update. segundo, ese soft es de confianza, es de programacion. Aqui mismo lo dice:



[post anterior]

SProces v4.2 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: [b]Microsoft Windows XP (v5.1.2600) Service Pack 3, v.3311[/b]

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: LGC-NOTEBOOK

Nombre Usuario: Leandro

[post anterior]

[lucl]

Y esto tambien lo tienes instalado?





Parche MS08-067 (Servicio Servidor) NO Instalado.





comentanos saludos

[laspiur]

si, ya viene con el sp3.

[msc hotline sat]

El SP3 sí, pero el MS08-067 no está instalado !!!


[quote]Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3, v.3311

Parche MS08-067 (Servicio Servidor) NO Instalado.[/quote]

y sobre lo que dices en el último post, [b]NO, el SP3 no incluye el MS08-067 !!![/b]

Lanza un windowsupdate e instalalo.



saludos



ms, 11-11-2009

[laspiur]

MIRA ESTIMADO, NO TE PONGAS MAL, EL WINDOWSUPDATE ME DICE QUE YA LO TENGO INSTALADO Y NO ME DEJA, ASI QUE YA FUE. PROBE 250 ANTIVIRUS Y EL UNICO QUE ME LO SACO FUE EL [b]KASPERSKY[/b] ASI QUE YA ESTA. EL NOD32 NI ME LO DETECTO, EL AVG TAMPOCO, EL AVAST TAMPOCO, ETC. CIERRA EL THREAD SI QUIERES. MI CONSEJO ES QUE DEBERIAS INFORMARTE MAS POR TU CUENTA Y NO CONFIAR TANTO EN ESAS HERRAMIENTAS DE ANALISIS QUE ME ACONSEJAN UTILIZAR, YA QUE ARROJAN RESULTADOS NO TAN CONFIABLES. SALUDOS Y GRACIAS!! :D :D :D :D

[msc hotline sat]

Podemos confiar en nuestras herramientas porque las hacemos nosotros, y ten bien presente que el SP3 no incluye el MS08-067, especialmente porque dicho parche es de Octubre de 2008 y el SP3 es muy anterior.



Otra cosa es que aparte del SP3, tu sistema operativo incluyera dicho MS08-067, pero lo mas importante es que estés seguro de que esté instalado, para evitar que te entre el Conficker



Y celebramos que por fin hayas podido detectar y eliminar el troyano, si bien no nos has dicho el que ha sido, lo cual hubiera servido para figurar en el histórico del foro, al cual recurrir en el futuro, pero en cualquier caso damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 16-11-2009

Ref AR/Cas-33.04-61.17







ANEXO: Y a lo que dices de [b][i]"PROBE 250 ANTIVIRUS"[/i][/b] pues aqui no conocemos tantos, y nos basamos en los 41 del VirusTotal, que por cierto, en ocasiones ninguno detecta los nuevos virus existentes, como indicabamos esta mañana con tres nuevos especimenes:



http://www.zonavirus.com/noticias/2009/otro-nuevo-troyano-variante-de-navipromo-no-detectado-todavia-por-ningun-antivirus.asp



Y con nuestras herramientas, reconocidas internacionalmente, las vamos controlando. ms.