Malware defense se instaló solo y varias alertas

[cayuco]

Gracias denuevo lo primero.

Se me ha instalado automaticamente una herramienta "malware defense", la desinstalé y me volvió a salir, se instaló, hizo un analisis en el que detectó un puñado de amenazas y me insta a que la compre.

Por otro lado me aparecen constantemente alarmas del "security center alert" con problemas, infecciones....

¿Que puedo hacer? intenté bajar el Spydoctor y no puedo hacerlo funcionar.

[julibaga]

Inicia la máquina en Modo seguro con Funciones de Red.
Para ello pulsa la tecla F8 mientras está arrancando la computadora.

Bájate el Elistara.

Lo ejecutas y cuando termine abres el archivo c:\infosat.txt, copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.

[msc hotline sat]

Y como que de FAKE ALERTS (Falso antivirus, que es lo que es) hay muchas variantes y cada dia aparecen de nuevos, si no se detectara con el actual ELISTARA ni pidiera muestras para analizar, posteanos log generado por el SPROCES:

SPROCES.EXE (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT

lo analizaremos e informaremos al respecto.

saludos

9-1-2010

[malondo]

Tengo el mismo problema desde hace varios dias y ya no se que hacer. He analizado en modo seguro con elistara y me ha hecho el siguiente informe:



(9-1-2010 18:49:41 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(9-1-2010 18:51:39 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Users\user\Desktop\Descargas Ares\ART BORDERS(2).EXE --> Eliminado, WebHancer(inst)



Nº Total de Directorios: 24548

Nº Total de Ficheros: 219365

Nº de Ficheros Analizados: 71639

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





Que debo hacer?

[malondo]

Se me olvidaba, durante el escaneo con elistar me salieron mensajes de acceso denegado a las siguientes carpetas:

C\Windows\registration\CRMlog(16)

C\Windows\System32\com\dmp(16)

C\Windows\System32\logfiles\WMI\RtBackup(16)

C\Windows\System32\spool\PRINTERS(16)



He pasado despues el avast y me detecta al arrancar el siguiente virus:



C\Windows\System32\h8srtjqbmqbpsi.dll



Gracias.

[cayuco]

Sun Feb 22 11:25:58 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad D:\ Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad H:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger



Sun Feb 22 11:27:40 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad I:\ Protegida



(9-1-2010 19:32:27 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "6to4"

Eliminados Ficheros Temporales del IE

[cayuco]

El anterior comentario es el contenido del satinfo despues de pasar el elistara.

El icono del servicio de alertas ha desaparecido, pero al intentar ver el contenido del infosat en c: me dió un pantallazo azul, reinicié y al venir al foro para publicar el infosat, no pude porque me salió el error tipico de IE de que debe cerrarse la aplicación.Este error desde que empezó el problema me pasa una de cada dos veces que entro en internet con IE. Con el mozilla no me pasa.

¿El informe es correcto o debo tomar mas medidas?

se me olvidaba, ami no me salió ningun error del elistara, solo me pidio si deseaba eliminar los temporales y no se que más y después de eso no volvió, esperé un rato a ver si salia algún mensaje de que hubiera acabado y no salió nada, así que inicié el administrador de tareas y ví que ya no estaba en marcha.

[cayuco]

Aquí os dejo el informe que me generó el sproces:

(9-1-2010 20:18:56 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: CASA

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWTRAY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 activate.adobe.comO2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\StartCmd.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes -

O16 - DPF: Microsoft XML Parser for Java -

O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} - http://codecs.microsoft.com/codecs/i386/fhg.CAB

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.8.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tachoysandr.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - http://80.25.119.24/activex/AMC.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5524/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A024D3D1-81F6-4B12-9BE5-1E9C1AAAC6E6}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NMSAccess - Unknown owner - C:\Archivos de programa\StudioLine Photo Basic\NMSAccess.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Avance AC97 Audio (WDM) (ALCXWDM) - Avance Logic, Inc. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Dot4 HPH11 - HP - C:\WINDOWS\SYSTEM32\DRIVERS\hphid411.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPH11 (Dot4Print HPH11) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\hphipr11.sys

O23 - Service: Storage Class Driver for IEEE-1284.4 (HPH11) (Dot4Storage HPH11) - Hewlett-Packard - C:\WINDOWS\SYSTEM32\Drivers\hphs2k11.sys

O23 - Service: Dot4Usb HPH11 - HP - C:\WINDOWS\SYSTEM32\drivers\hphius11.sys

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pinnacle Marvin Bus (MarvinBus) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\MarvinBus.sys

O23 - Service: NUVision II Audio Service (nuvaud2) - Zoran Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\nuvaud2.sys

O23 - Service: NUVision II Video Service (NUVision) - Zoran Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\nuvvid2.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: TRUST 320 SPACEC@M (ovt519) - OmniVision Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ov519vid.sys

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SAMSUNG USB Composite Device driver (WDM) (sscdbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdbus.sys

O23 - Service: SAMSUNG CDMA Modem Filter (sscdmdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdmdfl.sys

O23 - Service: SAMSUNG CDMA Modem Drivers (sscdmdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdmdm.sys

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TSP - Unknown owner - C:\WINDOWS\system32\drivers\klif.sys (file missing)

O23 - Service: 3COM OfficeConnect Wireless 11g Compact USB Adapter(3COM Corporation) (ZD1211U(3COM Corporation)) - 3COM Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\zd1211u.sys

O23 - Service: ZDPNDIS5 NDIS Protocol Driver (ZDPNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\System32\ZDPNDIS5.SYS



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: dwshd - Unknown owner - C:\WINDOWS\System32\drivers\dwshd.sys (file missing)

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)



42 Servicios.

12 de Carga Automatica.

27 de Carga Manual.

3 Deshabilitados.

[lucl]

Pues fijate que despues de limpiar temporales debía haberte salido un cuadro que pusiese explorar o salir y tu le das a explorar y ahi es cuando se pone a hacer el analisis a fondo... Asi que intenta pasarlo de nuevo a ver si lo consigues. Si no lo puedes pasar en modo normal intentalo arrancando en modo seguro y nos comentas como fue y nos pegas el infosat otra vez gracias saludos.

[cayuco]

voy a intentarlo hoy, pero los dos están pasados en modo seguro, porque en el normal no me dá mas que problemas con lo que tuve miedo a que las herramientas no las pudiera bajar, o se corrompieran.

[msc hotline sat]

Pues vemos que tienes un fichero de nombre aleatorio (no aparece con el Google en Internet mas que en tu Tema), y que conviene que nos envies para analizar, arranques en modo seguro y ejecutes dicha utilidad indicándole a copiar el siguiente fichero:

C:\Windows\System32\h8srtjqbmqbpsi.dll

Y marcas la casilla inferior izquierda de la ventana de dicha utilidad, para que ademas de copiarlo a C:\muestras\ , añada .VIR a su extensión para que asi ya no se cargue a partir del próximo reinicio.

Y tras reiniciar los envías el fichero que encontrarás en C:\muestras\


Tras recibirlos, los analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 10-1-2010

[cayuco]

Aquí os dejo el infosat del elistara pasado en modo normal, me ha dado denegado el acceso a dos carpetas:

-C:\Archivos de programa\Adobe\Reader 8.0\Resource\CMap (16)

-C:\Documents and settings\All users.Windows\Datos de programa\Symantec\SRTSP\Quarantine (16)

Y este es el texto del infosat:



(10-1-2010 9:32:12 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(10-1-2010 9:32:16 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9216

Nº Total de Ficheros: 69703

Nº de Ficheros Analizados: 27502

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[cayuco]

Y por si fuera util el des sproces pasado en modo normal, ya que el otro estaba en modo seguro:

(10-1-2010 09:44:49 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: CASA

Nombre Usuario: tacho



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\STUDIOLINE PHOTO BASIC\NMSACCESS.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\BIN\SPRTSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\CANON\CAL\CALMAIN.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\BIN\SPRTCMD.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\TACHO.CASA\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 activate.adobe.comO2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [settdebugx.exe] C:\DOCUME~1\TACHO~1.CAS\CONFIG~1\Temp\settdebugx.exe

O4 - HKCU\..\Run: [Malware Defense] "C:\Archivos de programa\Malware Defense\mdefense.exe" -noscan

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\StartCmd.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes -

O16 - DPF: Microsoft XML Parser for Java -

O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} - http://codecs.microsoft.com/codecs/i386/fhg.CAB

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.8.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://tachoysandr.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - http://80.25.119.24/activex/AMC.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5524/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A024D3D1-81F6-4B12-9BE5-1E9C1AAAC6E6}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NMSAccess - Unknown owner - C:\Archivos de programa\StudioLine Photo Basic\NMSAccess.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Avance AC97 Audio (WDM) (ALCXWDM) - Avance Logic, Inc. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Dot4 HPH11 - HP - C:\WINDOWS\SYSTEM32\DRIVERS\hphid411.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPH11 (Dot4Print HPH11) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\hphipr11.sys

O23 - Service: Storage Class Driver for IEEE-1284.4 (HPH11) (Dot4Storage HPH11) - Hewlett-Packard - C:\WINDOWS\SYSTEM32\Drivers\hphs2k11.sys

O23 - Service: Dot4Usb HPH11 - HP - C:\WINDOWS\SYSTEM32\drivers\hphius11.sys

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pinnacle Marvin Bus (MarvinBus) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\MarvinBus.sys

O23 - Service: NUVision II Audio Service (nuvaud2) - Zoran Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\nuvaud2.sys

O23 - Service: NUVision II Video Service (NUVision) - Zoran Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\nuvvid2.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: TRUST 320 SPACEC@M (ovt519) - OmniVision Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ov519vid.sys

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SAMSUNG USB Composite Device driver (WDM) (sscdbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdbus.sys

O23 - Service: SAMSUNG CDMA Modem Filter (sscdmdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdmdfl.sys

O23 - Service: SAMSUNG CDMA Modem Drivers (sscdmdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdmdm.sys

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TSP - Unknown owner - C:\WINDOWS\system32\drivers\klif.sys (file missing)

O23 - Service: 3COM OfficeConnect Wireless 11g Compact USB Adapter(3COM Corporation) (ZD1211U(3COM Corporation)) - 3COM Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\zd1211u.sys

O23 - Service: ZDPNDIS5 NDIS Protocol Driver (ZDPNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\System32\ZDPNDIS5.SYS



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: dwshd - Unknown owner - C:\WINDOWS\System32\drivers\dwshd.sys (file missing)

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)



42 Servicios.

12 de Carga Automatica.

27 de Carga Manual.

3 Deshabilitados.

[msc hotline sat]

Vemos estos ficheros sospechosos, envienoslos para analizar e implementar su control y eliminacion en las proximas versiones de nuestras utilidades, de lo cual informaremos:


C:\DOCUME~1\TACHO~1.CAS\CONFIG~1\Temp\settdebugx.exe

C:\Archivos de programa\Malware Defense\mdefense.exe

y elimina esta linea del HOST:

O1 - Hosts: 127.0.0.1 activate.adobe.com

(Edita dicho fichero, que está en C:\windows\system32\drivers\etc\HOSTS y elimina dicha linea)


Tras recibirlos, los analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 10-1-2010

[cayuco]

Perdón por la tardanza, pero ayer tuve problemas con los mensajes para bajarme el elimover 1.1

Hoy lo he bajado, he arrancado en modo a prueba de errores y le he dado a ejecutar, marqué la casilla de cambiarles la extensión a .vir y copié y pegué una por una las rutas que me comentabais para enviarlas y en las 3 me sale que el archivo no existe. ¿Hago algo mal?. De todos modos algo no va bién pues se me cuelga muchisimo el IE y también se me queda el pc muerto a veces al arrancar y otras veces en medio de la sesión al darle a abrir algo se queda el puntero con el relojillo de arena colgado y nisiquiera puedo iniciar el administrador de tareas.

[flacoroo]

Estos son los archivos que debes enviarnos segun sus rutas....



O4 - HKCU\..\Run: [settdebugx.exe] C:\DOCUME~1\TACHO~1.CAS\CONFIG~1\Temp\settdebugx.exe

O4 - HKCU\..\Run: [Malware Defense] "C:\Archivos de programa\Malware Defense\mdefense.exe" -noscan



buscalos, si estan ocultos marcas las casillas para ver archivos ocultos y tambien ver las extensiones de los archivos. y cuando los encuentres añade la extension VIR o sea quedaran asi....



O4 - HKCU\..\Run: [settdebugx.exe] C:\DOCUME~1\TACHO~1.CAS\CONFIG~1\Temp\settdebugx.exe.vir

O4 - HKCU\..\Run: [Malware Defense] "C:\Archivos de programa\Malware Defense\mdefense.exe.vir" -noscan

[msc hotline sat]

Y prueba la nueva version 20.10 del ELISTARA, en la que justamente hemos implementado control exhaustivo de esta gama de FAKE ALERTS:

http://www.zonavirus.com/noticias/2010/ ... ogues….asp

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 14-1-2010

[cayuco]

Aquí os dejo los informes del infosat del nuevo elistara y del sproces, los volví a pasar después de instalar el a-square free que me detectó unas 11 infecciones. Los archivos que me pedisteis para enviar sigo sin poder localizarlos, a ver si ahora salen en los informes. Gracias por vuestro interés de antemano.

Sigo teniendo problemas con IE8, entro en internet y al momento se me apaga.



(10-1-2010 9:32:12 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(10-1-2010 9:32:16 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9216

Nº Total de Ficheros: 69703

Nº de Ficheros Analizados: 27502

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(12-1-2010 9:25:17 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(12-1-2010 9:25:25 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9313

Nº Total de Ficheros: 70433

Nº de Ficheros Analizados: 27702

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(12-1-2010 11:08:10 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(12-1-2010 11:08:15 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3141

Nº Total de Ficheros: 22436

Nº de Ficheros Analizados: 7063

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(12-1-2010 21:35:49 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(12-1-2010 21:35:53 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2039

Nº Total de Ficheros: 12127

Nº de Ficheros Analizados: 3676

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(12-1-2010 21:43:51 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-1-2010 21:43:58 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8580

Nº Total de Ficheros: 55569

Nº de Ficheros Analizados: 17755

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(12-1-2010 21:52:18 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 35

Nº Total de Ficheros: 194

Nº de Ficheros Analizados: 91

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(12-1-2010 21:54:15 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6210

Nº Total de Ficheros: 37469

Nº de Ficheros Analizados: 9485

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(12-1-2010 21:59:23 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9305

Nº Total de Ficheros: 69763

Nº de Ficheros Analizados: 27443

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-1-2010 9:04:52 (GMT))

EliStartPage v20.10 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(14-1-2010 9:05:05 (GMT))

EliStartPage v20.10 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9286

Nº Total de Ficheros: 70154

Nº de Ficheros Analizados: 27625

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(14-1-2010 09:23:17 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: CASA

Nombre Usuario: tacho



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

D:\TACHO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\StartCmd.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes -

O16 - DPF: Microsoft XML Parser for Java -

O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} - http://codecs.microsoft.com/codecs/i386/fhg.CAB

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.8.cab

O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (qsax Control) - http://quickscan.bitdefender.com/qsax/qsax.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://tachoysandr.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - http://80.25.119.24/activex/AMC.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5524/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A024D3D1-81F6-4B12-9BE5-1E9C1AAAC6E6}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Archivos de programa\a-squared Free\a2service.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NMSAccess - Unknown owner - C:\Archivos de programa\StudioLine Photo Basic\NMSAccess.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Avance AC97 Audio (WDM) (ALCXWDM) - Avance Logic, Inc. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)

O23 - Service: cpuz128 - Unknown owner - C:\DOCUME~1\TACHO~1.CAS\CONFIG~1\Temp\cpuz_x32.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Dot4 HPH11 - HP - C:\WINDOWS\SYSTEM32\DRIVERS\hphid411.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPH11 (Dot4Print HPH11) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\hphipr11.sys

O23 - Service: Storage Class Driver for IEEE-1284.4 (HPH11) (Dot4Storage HPH11) - Hewlett-Packard - C:\WINDOWS\SYSTEM32\Drivers\hphs2k11.sys

O23 - Service: Dot4Usb HPH11 - HP - C:\WINDOWS\SYSTEM32\drivers\hphius11.sys

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Pinnacle Marvin Bus (MarvinBus) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\MarvinBus.sys

O23 - Service: NUVision II Audio Service (nuvaud2) - Zoran Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\nuvaud2.sys

O23 - Service: NUVision II Video Service (NUVision) - Zoran Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\nuvvid2.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: TRUST 320 SPACEC@M (ovt519) - OmniVision Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ov519vid.sys

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SAMSUNG USB Composite Device driver (WDM) (sscdbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdbus.sys

O23 - Service: SAMSUNG CDMA Modem Filter (sscdmdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdmdfl.sys

O23 - Service: SAMSUNG CDMA Modem Drivers (sscdmdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdmdm.sys

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TSP - Unknown owner - C:\WINDOWS\system32\drivers\klif.sys (file missing)

O23 - Service: 3COM OfficeConnect Wireless 11g Compact USB Adapter(3COM Corporation) (ZD1211U(3COM Corporation)) - 3COM Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\zd1211u.sys

O23 - Service: ZDPNDIS5 NDIS Protocol Driver (ZDPNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\System32\ZDPNDIS5.SYS



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: dwshd - Unknown owner - C:\WINDOWS\System32\drivers\dwshd.sys (file missing)

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)



44 Servicios.

12 de Carga Automatica.

29 de Carga Manual.

3 Deshabilitados.

[msc hotline sat]

pUES DIGANOS SI ESTA CLAVE ES VOLUNTARIA:



O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/v ... .2.4.8.cab



YA QUE SU CLASS CONLLEVA: http://www.juniper.net/security/auto/vulnerabilities/vuln28993.html





Sugerimos que la elimine.



Aparte de ello ya no se ven otros lanzamientos maliciosos ni ficheros sospechosos, por lo que tras hacer lo indicado, reinicie y diganos si ya no persiste ninguna anomalia, y podemos dar por solucionado el Tema



saludos



ms, 14-1-2010

[cayuco]

¿Podrias decirme si haces el favor como elimino esta clave? Explicamelo con claridad, para niños, que yo esto de la informatica no lo llevo bien. Gracias

[msc hotline sat]

Sí, mira lo que se indica al respecto en:

ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 14-1-2010

[cayuco]

Sigo teniendo problemas. Contacté con el soporte de IE8 por si estuviera dañado, pero ayer, navegando con el mozilla, ya que el ie se apaga cuando quiere, derepente se abre el IE con una pagina "www.nestlist.com", por lo que deduzco que hay algo en el ordenador.

Por otra parte, al pasar el a-square me sale siempre una clave del registro de antimalware, la he eliminado y al pasarlo la vuelve a detectar.

Ayer intenté desfragmentar las unidades y me salió un mensaje de que el desfragmentador no puede iniciarse.

Podrias decirme que herramienta pasar para enviaros el informe y localizar los fallos? o tendré que formatearlo? me dá pánico lo segundo, pues no lo he hecho nunca y no tengo ni idea de que hacer.

[msc hotline sat]

Pues vuelve a postearnos el c:\sproclog.txt creado por el SPROCES tras probarlo ahora..



saludos



ms, 17-1-2010







PD. Y dinos, ¿tienes instalada alguna aplicacion polinomios o matemáticas ... ???



ms.

[cayuco]

no se de que tipo de programas me pregunta.

hoy al cerrar el pc me salió un aviso de que habia un programa no autorizado de ms-dos, y al ir a ver la carpeta del sprolog

hay un icono nuevo en c:\ que hace referencia al programa ese del aviso.

aqui dejo el informe:

(18-1-2010 14:16:53 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: CASA

Nombre Usuario: tacho



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

D:\TACHO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: NitroPDFBHO Class - {CF070CB8-F02F-4af4-A7B7-8D45CAD4BB54} - C:\Archivos de programa\Nitro PDF\PDF Download\NitroPDF.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: (no name) - Locked - (no file)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\StartCmd.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: (no name) - {96538116-AB8C-4879-9F21-BD2BFE22A414} - (no file)

O9 - Extra button: (no name) - {AD9E6088-E00B-42f9-9F0C-8480525D234E} - C:\Archivos de programa\Nitro PDF\PDF Download\NitroPDF.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: PDF Download - {F1C0FD6C-A6A0-49a7-A932-71A56461867F} - C:\Archivos de programa\Nitro PDF\PDF Download\NitroPDF.dll (HKCU)

O16 - DPF: DirectAnimation Java Classes -

O16 - DPF: Microsoft XML Parser for Java -

O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} - http://codecs.microsoft.com/codecs/i386/fhg.CAB

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/Dcode/ActiveX/MSDcode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (qsax Control) - http://quickscan.bitdefender.com/qsax/qsax.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://tachoysandr.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - http://80.25.119.24/activex/AMC.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A024D3D1-81F6-4B12-9BE5-1E9C1AAAC6E6}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Archivos de programa\a-squared Free\a2service.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NMSAccess - Unknown owner - C:\Archivos de programa\StudioLine Photo Basic\NMSAccess.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Avance AC97 Audio (WDM) (ALCXWDM) - Avance Logic, Inc. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)

O23 - Service: cpuz128 - Unknown owner - C:\DOCUME~1\TACHO~1.CAS\CONFIG~1\Temp\cpuz_x32.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Dot4 HPH11 - HP - C:\WINDOWS\SYSTEM32\DRIVERS\hphid411.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPH11 (Dot4Print HPH11) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\hphipr11.sys

O23 - Service: Storage Class Driver for IEEE-1284.4 (HPH11) (Dot4Storage HPH11) - Hewlett-Packard - C:\WINDOWS\SYSTEM32\Drivers\hphs2k11.sys

O23 - Service: Dot4Usb HPH11 - HP - C:\WINDOWS\SYSTEM32\drivers\hphius11.sys

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Pinnacle Marvin Bus (MarvinBus) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\MarvinBus.sys

O23 - Service: NUVision II Audio Service (nuvaud2) - Zoran Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\nuvaud2.sys

O23 - Service: NUVision II Video Service (NUVision) - Zoran Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\nuvvid2.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: TRUST 320 SPACEC@M (ovt519) - OmniVision Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ov519vid.sys

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SAMSUNG USB Composite Device driver (WDM) (sscdbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdbus.sys

O23 - Service: SAMSUNG CDMA Modem Filter (sscdmdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdmdfl.sys

O23 - Service: SAMSUNG CDMA Modem Drivers (sscdmdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\sscdmdm.sys

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TSP - Unknown owner - C:\WINDOWS\system32\drivers\klif.sys (file missing)

O23 - Service: 3COM OfficeConnect Wireless 11g Compact USB Adapter(3COM Corporation) (ZD1211U(3COM Corporation)) - 3COM Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\zd1211u.sys

O23 - Service: ZDPNDIS5 NDIS Protocol Driver (ZDPNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\System32\ZDPNDIS5.SYS



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: dwshd - Unknown owner - C:\WINDOWS\System32\drivers\dwshd.sys (file missing)

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)



44 Servicios.

11 de Carga Automatica.

29 de Carga Manual.

4 Deshabilitados.

[msc hotline sat]

Aparte de estas claves que puedes eliminar:

03 - Toolbar: (no name) - Locked - (no file)

O9 - Extra button: (no name) - {96538116-AB8C-4879-9F21-BD2BFE22A414} - (no file)

el log está limpio.



Y dices:

hoy al cerrar el pc me salió un aviso de que habia un programa no autorizado de ms-dos, y al ir a ver la carpeta del sprolog
hay un icono nuevo en c:\ que hace referencia al programa ese del aviso.

No indicas fichero al respecto, pero envianoslo para analizar y tras ello informaremos

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253


Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos


saludos

ms, 18-1-2010