Problema centro seguridad y otros II (SOLUCIONADO)

[antoniosevilla]

Hola de nuevo.



Antes que nada pedir disculpas por provocar el cierre del tema abierto ayer, pero no comprendí que debía hacer. No pretendía actuar por medios propios, sino que intentaba facilitar el trabajo a quien me pudiera ayudar, eso si un poco asustado por este problema.



Bueno, intentare hacerlo mejor.



En prueba de fallos ayer pasé el mallwarebytes y no detecta nada anormal.

Igualmente, a prueba de fallos, pasé el Panda Online, y tras mucho tiempo de busqueda no detecta nada tampoco.

Hoy he pasado también a prueba de fallos el Elistara, por lo que adjunto el resultado del analisis. Espero haberlo hecho bien esto.



He ejecutado el sproces también, esto en windows a modo normal, y también adjunto el archivo generado.



Desde que tengo el problema no me funciona el centro de seguridad de windows, tampoco puedo acceder al firewall, pero si me funciona el NOD 32, sin que detecte nada anormal. No se que hacer con esto pero me preocupa bastente.



El principal síntoma que tenía era el que se abría solo el explorer, con publicidad de celldorado y otras. Igualmente se cerraba solo el explorer durante la exploracion de otras paginas. Respecto a esto igual es de utilidad un ultimo comentario: Desde que he pasado el elistara y el sproces parece que algo ha mejorado porque llevo ya un buen rato escribiendo este tema y no ha aparecido nada raro aun ni se cierra el explorer. No se si esto será casualidad y volverá a aparecer algo extraño.



Dejo en la siguiente respuesta los resultados indicados, de elistara, del sproces y por si es de ultilidad también del resultado de la acción del Malwarebytes del momento en el que me detectó las intrusiones.



Agradecido por los consejos recibidos.



Saludos.



antonio

[antoniosevilla]

(10-4-2010 09:35:44 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LBTWLGN] -> C:\WINDOWS\SYSTEM32\C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\BLUETOOTH\LBTWLGN.DLL

C:\WINDOWS\Tasks\At1.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At2.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At3.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At4.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At5.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At6.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At7.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At8.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At9.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At10.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At11.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At12.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At13.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At14.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At15.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At16.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At17.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At18.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At19.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At20.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At21.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At22.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At23.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At24.job --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(10-4-2010 09:41:13 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(10-4-2010 09:50:57 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7509

Nº Total de Ficheros: 64881

Nº de Ficheros Analizados: 22375

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(10-4-2010 09:53:13 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS\ServicePackFiles"



Nº Total de Directorios: 4

Nº Total de Ficheros: 2855

Nº de Ficheros Analizados: 2293

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[antoniosevilla]

(10-4-2010 10:02:26 GMT)

SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: PRINCIPAL

Nombre Usuario: Antonio Albarrán



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB09.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\CTHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\SETPOINT\SETPOINT.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\SETPOINT II\SETPOINTII.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\KHAL2\KHALMNPR.EXE

C:\WINDOWS\SYSTEM32\CTHELPER .EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI .EXE

C:\DOCUMENTS AND SETTINGS\ANTONIO ALBARRáN\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Logitech SetPoint.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: SetPointII.lnk

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://www.cert.fnmt.es/content/pages_std/ficheros_apps_usuarios/capicom.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0014-0002-0014-ABCDEFFEDCBA} (Java Plug-in 1.4.2_14) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0AB1C9C5-0A93-468A-AA0A-A860C5D031B8}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

O23 - Service: HARDLOCK Parallel port device driver (HARDLOCK) - Aladdin Knowledge Systems - C:\WINDOWS\system32\DRIVERS\HARDLOCK.SYS

O23 - Service: LBeepKE - Logitech, Inc. - C:\WINDOWS\SYSTEM32\Drivers\LBeepKE.sys

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: PfModNT - Creative Technology Ltd. - C:\WINDOWS\system32\PfModNT.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: CanoScan FBP2 Port Driver (ScFBPNT2) - Unknown owner - C:\WINDOWS\system32\drivers\ScFBPNT2.SYS



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Creative AC3 Software Decoder (ctac32k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctac32k.sys

O23 - Service: Creative Audio Driver (WDM) (ctaud2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctaud2k.sys

O23 - Service: Puerto de juegos de Creative SB Live! (ctljystk) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ctljystk.sys

O23 - Service: Creative Proxy Driver (ctprxy2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctprxy2k.sys

O23 - Service: Creative SoundFont Management Device Driver (ctsfm2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctsfm2k.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: E-mu Plug-in Architecture Driver (emupia) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\emupia2k.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: Creative Hardware Abstract Layer Driver (ha10kx2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ha10kx2k.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFBS2S2.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFDPSP2.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Archivos de programa\Archivos comunes\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: Logitech SetPoint KMDF HID Filter Driver (LHidFilt) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LHidFilt.Sys

O23 - Service: Logitech SetPoint KMDF Mouse Filter Driver (LMouFilt) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LMouFilt.Sys

O23 - Service: NTSIM - VIA Networking Technologies, Inc. - C:\WINDOWS\system32\ntsim.sys

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctoss2k.sys

O23 - Service: Dual Mode USB Camera Plus (OVT511Plus) - OmniVision Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\omcamvid.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys (file missing)

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFCXTS2.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



46 Servicios.

10 de Carga Automatica.

35 de Carga Manual.

1 Deshabilitados.

[antoniosevilla]

Malwarebytes' Anti-Malware 1.45

http:// https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



Versión de la base de datos: 3930



Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702



08/04/2010 17:18:49

mbam-log-2010-04-08 (17-18-49).txt



Tipo de examen: Examen rápido

Objetos examinados: 103310

Tiempo transcurrido: 7 minuto(s), 39 segundo(s)



Procesos en Memoria Infectados: 0

Módulos de Memoria Infectados: 1

Claves del Registro Infectadas: 5

Valores del Registro Infectados: 1

Elementos de Datos del Registro Infectados: 3

Carpetas Infectadas: 1

Archivos Infectados: 6



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos de Memoria Infectados:

C:\Documents and Settings\All Users\Documentos\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.



Claves del Registro Infectadas:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Delete on reboot.



Valores del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.



Elementos de Datos del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.



Carpetas Infectadas:

C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.



Archivos Infectados:

C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.

C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.

C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.

C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Documentos\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.

[msc hotline sat]

Por lo que indicas de problemas con MODO SEGURO, prueba el ELIBAGLA, ya que es un Rootkit que no veríamos de otro modo, y que modifica las claves del SAFEBOOT, produciendo lo indicado y corrompe el antivirus para que no pueda usarse:


[quote="para DESCARGAR el ELIBAGLA, msc"]


[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado



del proceso [/quote]



y elimina esta clave:



O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras todo ello, reinstala NOD32:



O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)



el hecho de que indique file missing no es habitual, puede haber sido borrado, ya que no lo instala oculto por defecto, tanto si has tenido bagle como si no.





y tras reiniciar, posteanos el c:\infosat.txt y dinos si persiste alguna anomalia y en su caso, cual.



saludos



ms, 10-4-2010



NOTA: Y ten presente que al haber pasado el MBAM antes que nuestras utilidades, quemaste las pistas y si han quedado restos no tenemos muestras para controlarlos ...

[antoniosevilla]

Hola.



El problema persiste como al principio. Se abren ventanas publicitarias y se cierra el explorer cuando le parece.



El NOD 32 bloquea intentos de intrusión, dándome por ejemplo ete mensaje :



11/04/2010 10:54:12 Filtro HTTP archivo http://ostracized.info/ve3/tmp/collab.pdf PDF/Exploit.Gen Troyano conexión finalizada - puesto en Cuarentena NT AUTHORITY\SYSTEM Se ha detectado una amenaza accediendo a un sitio de Internet a través de esta aplicación: C:\WINDOWS\system32\svchost.exe.



Otra cosa anormal es que el windows me pide permiso para utilizar mis claves de intercambio o algo así, porque una aplicación las solicita. Por supuesto respondo que no.



Bueno, siguiendo las instrucciones, he pasado el Elibagla y he reiniciado. Pego el contenido de infosat y seguire con lo siguiente.



Saludos.







(11-4-2010 08:09:00 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\Tasks\At1.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At2.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At3.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At4.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At5.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At6.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At7.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At8.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At9.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At10.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At11.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At12.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At13.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At14.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At15.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At16.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At17.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At18.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At19.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At20.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At21.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At22.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At23.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At24.job --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-4-2010 08:32:42 (GMT))

EliBagle v13.77 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(11-4-2010 08:40:17 (GMT))

EliBagle v13.77 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7521

Nº Total de Ficheros: 65273

Nº de Ficheros Analizados: 13478

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[antoniosevilla]

He eliminado la clave indicada.



He reinstalado el NOD 32.



Despues de reiniciar el NOD32 me ha detectado lo siguiente:



11/04/2010 11:57:40 Análisis en el inicio archivo C:\WINDOWS\system32\CTHELPER.EXE Win32/TrojanDownloader.Unruy.BN Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena



El ordenador me pide continuamente permiso para usar la clave privada de intercambio.



Me mantengo a la espera.



Gracias.



Saludos de nuevo.

[msc hotline sat]

El CTHELPER.EXE es normalmente de Creative Labs, pero claro, se puede crear o renombrar un fichero malware con cualquier nombre ...



Envianoslo para analizar, aunque ya esté en cuarentena, veremos si realmente era malware o ha sido un falso positivo de NOD32.



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo, lo analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos.





Y como que dices que [b][i]"El ordenador me pide continuamente permiso para usar la clave privada de intercambio"[/i][/b] , posteanos con un copiar y pegar el contenido del log generado por el SPROCES:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 11-4-2010

[antoniosevilla]

Hola MSC.



Tras instalar el nuevo NOD, he pasado el Elistara y me ha detectado el SPY.Zbot.



He bajado el elinotif.dll y con esta utilidad me dice que lo ha eliminado.



Se siguen abriendo las ventanas de publicidad. El NOD si parace que esta en funcionamiento.



Mando el cthelper y el archivo generado en muestras por el elistara.



Pego el contenido de sproclog.



(11-4-2010 11:17:21 GMT)

SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: PRINCIPAL

Nombre Usuario: Antonio Albarrán



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB09.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\SETPOINT\SETPOINT.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\SETPOINT II\SETPOINTII.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\KHAL2\KHALMNPR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\ANTONIO ALBARRáN\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Logitech SetPoint.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: SetPointII.lnk

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://www.cert.fnmt.es/content/pages_std/ficheros_apps_usuarios/capicom.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0014-0002-0014-ABCDEFFEDCBA} (Java Plug-in 1.4.2_14) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0AB1C9C5-0A93-468A-AA0A-A860C5D031B8}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: HARDLOCK Parallel port device driver (HARDLOCK) - Aladdin Knowledge Systems - C:\WINDOWS\system32\DRIVERS\HARDLOCK.SYS

O23 - Service: LBeepKE - Logitech, Inc. - C:\WINDOWS\SYSTEM32\Drivers\LBeepKE.sys

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: PfModNT - Creative Technology Ltd. - C:\WINDOWS\system32\PfModNT.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: CanoScan FBP2 Port Driver (ScFBPNT2) - Unknown owner - C:\WINDOWS\system32\drivers\ScFBPNT2.SYS



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Creative AC3 Software Decoder (ctac32k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctac32k.sys

O23 - Service: Creative Audio Driver (WDM) (ctaud2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctaud2k.sys

O23 - Service: Puerto de juegos de Creative SB Live! (ctljystk) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ctljystk.sys

O23 - Service: Creative Proxy Driver (ctprxy2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctprxy2k.sys

O23 - Service: Creative SoundFont Management Device Driver (ctsfm2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctsfm2k.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: E-mu Plug-in Architecture Driver (emupia) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\emupia2k.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: Creative Hardware Abstract Layer Driver (ha10kx2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ha10kx2k.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFBS2S2.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFDPSP2.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Archivos de programa\Archivos comunes\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: Logitech SetPoint KMDF HID Filter Driver (LHidFilt) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LHidFilt.Sys

O23 - Service: Logitech SetPoint KMDF Mouse Filter Driver (LMouFilt) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LMouFilt.Sys

O23 - Service: NTSIM - VIA Networking Technologies, Inc. - C:\WINDOWS\system32\ntsim.sys

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctoss2k.sys

O23 - Service: Dual Mode USB Camera Plus (OVT511Plus) - OmniVision Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\omcamvid.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys (file missing)

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFCXTS2.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



45 Servicios.

9 de Carga Automatica.

35 de Carga Manual.

1 Deshabilitados.

[antoniosevilla]

No puedo mandar el cthelper, ya que el antivirus no me deja manejarlo.



He mandado a virus@satinfo.es la muestra del elstara.

[msc hotline sat]

Pues tenías un RootKit (ZBOT), de los que ocultan claves, ficheros y procesos, y si gracias al ELISTARA/ELINOTIF lo has podido eliminar, y en el infosat.txt no se pide envio de muestras para analizar, es que se trata de uno ya conocido y que tras reiniciar ya habrás acabado con él !



Acostumbra a ser descargado por algun Downloader, como el Bredolab, pero cualquier otro lo pudo descargar o inyectar en el ordenador, especialmente tras lo que indicaste haber hecho...



Analizado el nuevo log, no se aprecian claves maliciosas, y si persisten anomalías, habremos de pensar en mas RootKits, incluso de MBR.



Por si acaso hubiera alguno de estos últimos, arranca con el CD de instalacion de Windows, pulsa R para entrar en Consola de Recuperaicon y desde allí lanza un FIXMBR. Ello sobreescribirá los primeros 446 bytes de los 512 del sector de MBR (Master Boot Record = primer sector físico del disco duro -cara 0, cilindro 0, sector 1) restaurando la normalidad al MBR si ha sido cambiado por algun malware que instalara algo allí.



Tras ello, reinicia y si aun persiste alguna anomalía, indicanos cual junto con el informe que genere el MCAfee Rottkit Detective:



http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



La pena es que no hubiera un punto de restauracion anterior al problema, hubiera sido lo mejor, pues vaya a saber lo que le pudieron hacer remotamente ...



y malana, cuando volvamos al trabajo en SATINFO, se analizará la muestra enviada y se informará al respecto.



saludos



ms, 11-4-2010

[msc hotline sat]

Veo que mientras yo escribía has posteado que no podias enviar el CTHELPER, pues para ello arranca en MODO SEGURO y empaquetalo con password virus , tras lo cual arrancar normal y el ZIP o RAR no lo detectará el antivirus y podrás enviarnoslo.



En cambio los informes debes postearlos aqui, con un copiar y pegar de su contenido:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 11-4-2010

[antoniosevilla]

Hola de nuevo.



Ando un poco desesparado pero sigo intentándolo.



Este es el estado actual:

No funciona el centro de seguridad, ni puedo acceder al firewall, igual que antes. Incluso el explorer sigue sin dejarme acceder a la pagina de windows update.

Se siguen abriendo ventanas publicitarias, aunque hace ya rato que no aperece ninguna. Ahora mismo parace que el explorer no se cierra tampoco.



He intentado acceder a la consola de recuperación. Desde el disco de instalacion no puedo porque no será de arranque.

He grabado el disco de instalacion como disco de arranque con el nero y al iniciar el pc me dice que si quiero arrancar desde al cd que puse una tecla, pero en ese momento parece que no funcionan las teclas.



He intentado instalar la consola en c segun instrucciones leídas en microsoft, de tal forma que al arrancar me dejase elegir. No funciona tampoco, ya que al inicio no me deja elegir la opcion de aceder a consola de recuperación. No responden en ese momento la flechas desplazarme a esa opcion. La he desistalado finalmente.



El archivo cthelper no consigo mandarlo, ya que esta en cuarentena y en cuanto lo restauro desde NOD 32 lo vuelve a borrar. En prueba de fallos no puedo acceder a la carpeta de cuarentena.



En prueba de fallos si he podido scanear con el nd32, pero sin interfaz, solo escaneo. No se el resultado de esta accion porque se cerro la ventana ultima sin dejar constancia de las acciones.



Me imagino que debo reparar el windows, pero no se como hacerlo.



Bueno, un poco desastre.... pero si pego el resultado del Rootkit detective.





McAfee(R) Rootkit Detective 1.1 scan report

On 11-04-2010 at 19:13:04

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: Registry-key

Object-Name: DataAfee(R) Rootkit Detective 1.1 scan report



Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data

Status: Hidden



Object-Type: Registry-key

Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-key

Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Item Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Status: Hidden



Object-Type: Registry-key

Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Value

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 2572

Object-Path: C:\Documents and Settings\Antonio Albarrán\Escritorio\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1428

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1152

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: hpztsb09.exe

Pid: 408

Object-Path: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

Status: Visible



Object-Type: Process

Object-Name: services.exe

Pid: 720

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1092

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: File/Folder

Object-Name: catalog.wci

Pid: n/a

Object-Path: C:\System Volume Information\catalog.wci

Status: Hidden



Object-Type: Process

Object-Name: svchost.exe

Pid: 1000

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 908

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 228

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: SetPoint.exe

Pid: 632

Object-Path: C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 1752

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: egui.exe

Pid: 452

Object-Path: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 732

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1880

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 672

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: KHALMNPR.exe

Pid: 920

Object-Path: C:\Archivos de programa\Archivos comunes\Logishrd\KHAL2\KHALMNPR.EXE

Status: Visible



Object-Type: Process

Object-Name: ekrn.exe

Pid: 1944

Object-Path: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1264

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: SetPointII.exe

Pid: 1048

Object-Path: C:\Archivos de programa\Logitech\SetPoint II\SetpointII.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 584

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 460

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 648

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Scan complete. Found hidden Processes and Files: 1 .

Total files scanned: 65806

McAfee(R) Rootkit Detective 1.1 scan report

On 11-04-2010 at 19:17:32

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 2572

Object-Path: C:\Documents and Settings\Antonio Albarrán\Escritorio\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1428

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1152

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: hpztsb09.exe

Pid: 408

Object-Path: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

Status: Visible



Object-Type: Process

Object-Name: services.exe

Pid: 720

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1092

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1000

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 908

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 228

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: SetPoint.exe

Pid: 632

Object-Path: C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 1752

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: egui.exe

Pid: 452

Object-Path: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 732

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1880

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 672

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: KHALMNPR.exe

Pid: 920

Object-Path: C:\Archivos de programa\Archivos comunes\Logishrd\KHAL2\KHALMNPR.EXE

Status: Visible



Object-Type: Process

Object-Name: ekrn.exe

Pid: 1944

Object-Path: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1264

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: SetPointII.exe

Pid: 1048

Object-Path: C:\Archivos de programa\Logitech\SetPoint II\SetpointII.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 584

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 460

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 648

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Scan complete. No hidden processes/files found.

Total files scanned: 23889

Scanning did not complete due to the user interruption.

McAfee(R) Rootkit Detective 1.1 scan report

On 11-04-2010 at 19:17:50

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: Registry-key

Object-Name: DataAfee(R) Rootkit Detective 1.1 scan report



Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data

Status: Hidden



Object-Type: Registry-key

Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-key

Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Item Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Status: Hidden



Object-Type: Registry-key

Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Value

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 2572

Object-Path: C:\Documents and Settings\Antonio Albarrán\Escritorio\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1428

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1152

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: hpztsb09.exe

Pid: 408

Object-Path: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

Status: Visible



Object-Type: Process

Object-Name: services.exe

Pid: 720

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1092

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: File/Folder

Object-Name: catalog.wci

Pid: n/a

Object-Path: C:\System Volume Information\catalog.wci

Status: Hidden



Object-Type: Process

Object-Name: svchost.exe

Pid: 1000

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 908

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 228

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: SetPoint.exe

Pid: 632

Object-Path: C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 1752

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: egui.exe

Pid: 452

Object-Path: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 732

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1880

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 672

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: KHALMNPR.exe

Pid: 920

Object-Path: C:\Archivos de programa\Archivos comunes\Logishrd\KHAL2\KHALMNPR.EXE

Status: Visible



Object-Type: Process

Object-Name: ekrn.exe

Pid: 1944

Object-Path: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1264

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: SetPointII.exe

Pid: 1048

Object-Path: C:\Archivos de programa\Logitech\SetPoint II\SetpointII.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 584

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 460

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 648

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Scan complete. Found hidden Processes and Files: 1 .

Total files scanned: 65805





Saludos

[antoniosevilla]

Am, lo olvidaba.



No puedo retaurar el sistema a un punto anterior, ya que desactivé la función restaurar el sistema nada mas empezar e buscar los posibles virus.



Ahora he mirado y se ha restaurado automaticamente esta opcion, pero solo tienes puntos derestauración de ayer y hoy.



Mil gracias.



Saludos

[msc hotline sat]

Pues en tu caso hubiera sido preferible que primero probaras de restaurar a un punto anterior, y solo si tras ello se hubiera detectado algo en el SYSTEM VOLUME INFORMATION\_RESTORE, entonces proceder a desactivarlo para arrancando en MODO SEGURO, poder acceder a dicha carpeta para eliminar el virus que contuviera.



Es que vete a saber lo que te pudieron hacer remotamente...



Pero de entrada, buscate un Disco de instalacion de windows, aunque no sea del tuyo, y arrancando con él, desde la Consola de Recuperacion, lanza un FIXMBR, por si acaso...



A lo que preguntas de REPARAR WINDOWS (aparte del MBR), :




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

y este CTHELPER, si está aparcado por el NOD32 ya no debe incordiar. Si puedes, envianoslo para certificar que no sea un falso positivo, pero puede que lo que incordie sea alguna otra cosa...



vemos que en el escaneo completo (el primero fue interrumpido), el McAfee RootKit Detective ha visto esto:



Object-Type: File/Folder

Object-Name: catalog.wci

Pid: n/a

Object-Path: C:\System Volume Information\catalog.wci

Status: Hidden



Scan complete. Found hidden Processes and Files: 1 .

Total files scanned: 65805



Un proceso oculto activo en memoria desde esta carpeta es muy raro... Mora de enviarnos dicho fichero



saludos



ms, 11-4-2010

[antoniosevilla]

Hola, buenos dias.



OK, hare lo del disco de inicio.



Respecto a esto:



Object-Type: File/Folder

Object-Name: catalog.wci

Pid: n/a

Object-Path: [b]C:\System Volume Information\catalog.wci[/b]

Status: Hidden



No puedo acceder al contenido de esa carpeta, el sistema me lo impide. He intentado comprimir la carpeta entera pero el winzip me dice que no hay archivos en su interior. Comprobando sus propiedades veo que tiene 0 bytes.



Saludos.

[msc hotline sat]

Pruebelo desactivando la restauracion de sistema y arrancando en modo seguro, dado que es la carpeta del SYSTEM VOLUME INFORMATION



Es la primera vez que vemos activo algo dentro de esta carpeta, pero por si acaso...



El McAfee RootKit Detective lo encuentra como proceso activo y oculto, propio de los RootKits... si no puede acceder a ello, pruebe de eliminarlo.



saludos



ms, 12-4-2010

[antoniosevilla]

Hola.



Llevo desde ayer intentanco acceder a la consola de recuperación, pera reparar el MBR.



Tengo el disco original de mi instalacion de windows, intento arrancar con el y siempre me pasa lo mismo, con este y con los demas discos de arranque:



Al arrancar el PC me dice que si quiero arrancar desde al cd que presione una tecla. Bueno, pues lo he intentado muchas veces y no responde ninguna tecla, por lo que arranca windows normalmente. Es como si el teclado no funionase en ese momento. Sin embargo si entro en la BIOS funciona perfectamente.



Intento este ultimo consejo, para acceder al archivo detectado por el detective.



Si lo consigo os lo mando.



Gracias y saludos.

[antoniosevilla]

Un detalle mas:



He desactivado restaurar sistema.

He entrado a prueba de fallos.

Sigo sin poder acceder al contenido de System Volume Information, ni me deja abrir ni copiar ni nada.



Me dice que el contenido de la carpeta puede estar en uso, intento cambiar los atributos y tampoco, figura como solo lectura.

[antoniosevilla]

Os pongo otra cosa extraña:



El NOD 32 me bloquea intentos de intrusión, he intentado buscar el registro de este suceso pero no lo ha guardado.



Me imagino que algo ha dañado el centro de seguridad para poder acceder, pero el NOD se lo impide.



Un poco de repelo, esto.



Pensé que podia ser de utilidad este dato.



Saludos.

[msc hotline sat]

1.- Si estas usando teclado inalambrico, prueba uno de normal para arrancar en consola de recuperacion.



2.- Con la restauracion de sistema desactivada, arranca en modo seguro para acceder al SYSYEM VOLUME INFORMATION





y nos cuentas



saludos



ms, 12-4-2010

[antoniosevilla]

Los intentos son contínuos, llegan desde una dirección muy complicada de captar al vuelo pero si he conseguido saber que vienen del equipo 213.163.89.106:80.



No se si viene bien saberlo.

[antoniosevilla]

El teclado es de cable, de los normales.



Al acceder a la BIOS si funciona, entro con F2 y me deja modificar el arranque.

[msc hotline sat]

Pues arranca sin conectar el cable de red (internet), ya que esta IP es de Holanda:



213.163.89.106 NL Netherlands 11 Zuid-Holland Group 51.7833 4.4333 High Secured Space Network Group High Secured Space Network Group



Ello puede ser un update requierido por cualquier aplicacion, o un intento de intrusion desde dicha IP...



Al no conectar el cable, veremos si persiste el problema o no .





Y entendido que el teclado es por cable, pues mira lo de arrancar en modo seguro para acceder a la carpeta de marras.



saludos



ms, 12-4-2010

[antoniosevilla]

Intento de todas formasa esta carpeta y es imposible.



Si con el NOD intento desinfectar esa carpeta me dice que no hay archivos dentro.



He notado que al arrancar el PC de los primeros textos que salen, antes de cargar windows es:



[b]Press (TAB) hey into user Window![/b]



Tal y como lo he escrito, si.



Extraño esto, pienso.



El teclado que tengo es iluminado, pues bien, justo en el momento que debo seleccionar arrancar desde al cd se apaga la luz del teclado. Antes funciona y despues también, pero en ese momento el teclado esta desactivado.



Veremos a ver si aguanto y puedo seguir contando.



Gracias mil.



Saludos.

[msc hotline sat]

Rarillo si es...



Entre el acceso desde una IP de Holanda, luego la activacion de algo en el SYSTEM-RESTORE y lo del teclado ... ???



Solo te faltaría uno de los Fake AV Antivirus Suite de los que hoy tenemos trpecientas consultas, y que por si acaso, te recomiendo leas la noticia al respecto:



http://www.zonavirus.com/noticias/2010/hoy-es-el-dia-de-los-falsos-av-antivirus-suite.asp



porque solo te faltaría esto, y a la que navegues, tienes muchas probabilidades, como todo el mundo !



De lo tuyo es una pena que "quemaras las naves" cuando hiciste lo que decias en [b][i]"probé con el Malwarebytes, que lo tengo actualizado y este programa si me eliminó 10 u 11 infecciones"[/i][/b], debió quedar algo a medio limpiar y vete a saber las claves modificadas y restos que pudieran haber...



Sigue intentandolo que tienes conocimientos para ello, y suerte !



saludos



ms, 12-4-2010

[antoniosevilla]

Hola ms.



Ahora si que me da miedo esto, porque me imagino que no puedes ayudarme más.



Bueno, de todas formas estoy muy agradecido porque he aprendido mucho.



No se que puedo hacer, me imagino que siempre podré formatear todo...



Lo pensaré unos dias mas.



Gracias de nuevo.



un amigo

[antoniosevilla]

Solo un detalle más.



Tengo ataques de todo tipo, pero hasta ahora me los para el NOD.



He intentado arrancar desde el disco, diciendo en la BIOS que solo arranque desde D, ninguna alternativa mas, y sigue arrancando windows normal.



Lo que tengo está antes de la bios.... no se explicarme mas detalladamente.



Bueno, saludos de nuevo.

[msc hotline sat]

Ademas de lanzar un FIXMBR desde la Consola, lanza un windowsupdate, no sea que te falte algun parche ...



Y antes del BIOS no, porque el hardware es tonto si no le ayudas con el software, y el pimer software que lee está en el BIOS.



Quizas querias decir antes del MBR, sí, antes de ello sí que hay el BIOS ! pero es muy improbable ya que los unicos virus que atacan al BIOS son para destruirla, ya que cada fabricante usa una distinta para cada modelo de placa, y solo serviría para un modelo... no, no creo ...



Pues nada, me voy a dormir que al menos he de descansar 4 horas ... que mañana volveremos a tener avalancha de fake alerts, downloaders, rootkits, backdoors, etc etc y hay que estar despejado :)



saludos



ms, 12-4-2010

[antoniosevilla]

Hola.



Aún aguanto.



Solo una preguntilla. Ya he llegado a lanzar el fixmbr y me sale el mensaje:



Este equipo parace tener un registro de inicio principal no estandar o no valido. FIXMBR puede dañar sus tablas si continua y que las particiones del disco actual queden inaccesibles.



Debo seguir por aqui o mejor reparar windows ?



Saludos.