virus en archivos temporales de internet

[rigel2024]

hola gente como estan , ojala se encuentren bien , bueno les cuento k mas de 6 veces me ha aparecido un aviso de un archivo temporal que el avira me lo detecta no se que archivo me esta originando esto

a continuacion envio el historial de avira



Virus or unwanted program 'ADWARE/AdRotator.A.1003 [adware]'

detected in file 'C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\d17023926.

Action performed: Deny access



espero ayuda , he corrido elistara pero no detecta nada

[rigel2024]

otra cosa , me di cuenta que me aparece el aviso de virus cada vez k se abre el mozilla

[lucl]

Yo no he usado nunca mozilla pero supongo que tendra una opción para limpiar temporales. Prueba a hacerlo, el elistara suele limpiarlos pero para explorer aunque si elimina muchos bichos y demas junglas que se puedan encontrar uses lo que uses explorer , mozilla o cualquier otro. El hecho de que te salga el aviso justo cuando abres el mozilla es normal dada la ubicación del bicho. De todos modos ¿ no puedes limpiarlo con el avira? No te da esa opción? Comentanos, saludos.

[msc hotline sat]

Es posible que si arrancas en MODO SEGURO y lanzas tu antivirus lo pueda eliminar, pero si tras ello cuando reinicias perSiste el problema, lanza el SPROCES y posteanos el informe resultante:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 27-2-2011

RCLSAN

[rigel2024]

a continuacion publico el texto del sproclog ademas me aparecio un aviso que decia k debia eliminar algunas entradas pero que tenia que hacerlo con conociemiento de causa, no me atrevi a hacer nada no pude copiar el mensaje pero era como 47 ntradas creo algo asi ahora publico archivo con el texto





(27-2-2011 20:13:24 GMT)

SProces v5.0 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: rigel2024

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\SCHED.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVGNT.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\WINDOWS\HFFEXT\HFFSRV.EXE

C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE (programa para montar unidades virtuales )

C:\ARCHIVOS DE PROGRAMA\TASKSWITCHXP\TASKSWITCHXP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\HARDCOPY\HARDCOPY.EXE

C:\ARCHIVOS DE PROGRAMA\BANDA ANCHA MOVIL\BANDA ANCHA MOVIL.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGERDISCOVERY 2\MESSENGERDISCOVERY 2.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Archivos de programa\AutocompletePro\AutocompletePro.dll

O2 - BHO: dymanet - {4d3c886b-bd88-d54c-c67b-4be17d9691bc} - C:\WINDOWS\system32\ac8ecd6e-d87f-2843-95ee-b3601e9c33dd.dll (file missing)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [HFFSRV] c:\windows\hffext\hffsrv.exe

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

O4 - Startup: Hardcopy.LNK = C:\Archivos de programa\Hardcopy\hardcopy.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1287328776515

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{198401CB-4903-415E-AA92-A9CEFD63AC82}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CCS\Services\Tcpip\..\{8F61500B-44DF-4CFD-80F1-7CF5C37CE3E8}: NameServer = 200.63.56.4 200.63.56.3

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL



Información Adicional:

----------------------

WinSys\Drivers\CHDAud.sys (de 625664 bytes) () Conexant Systems Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\HSF_CNXT.sys (de 731520 bytes) () Conexant Systems, Inc.

WinSys\Drivers\HSF_DPV.sys (de 989696 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mod7700.sys (de 872192 bytes) () DiBcom SA

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 717296 bytes) ()

WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Aspi32 - Adaptec - C:\WINDOWS\SYSTEM32\drivers\aspi32.sys

O23 - Service: avgntflt - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avgntflt.sys

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys

O23 - Service: A4Tech HID-compliant Mouse Driver (Amusbprt) - A4Tech Co.,Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Amusbprt.sys

O23 - Service: AnyDVD - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\AnyDVD.sys

O23 - Service: Controlador del adaptador de red Broadcom 802.11 (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys

O23 - Service: USB 2861 Video (DCamUSBEMPIA) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emDevice.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: eabfiltr - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\eabfiltr.sys

O23 - Service: eabusb - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\eabusb.sys

O23 - Service: USB Device Lower Filter (FiltUSBEMPIA) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emFilter.sys

O23 - Service: HBtnKey - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\cpqbttn.sys

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\CHDAud.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWAZL.sys

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DPV.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Nokia USB Phone Parent Driver (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Communication Driver (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: USB Still Image Capture Device (ScanUSBEMPIA) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emScan.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\Nokia\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SRS Labs Audio Sandbox (WDM) (SRS_SSCFilter) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\srs_sscfilter_i386.sys

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

O23 - Service: ZSMC USB PC Camera (ZS0211) (ZSMC211) - ZSMC.Corporation - C:\WINDOWS\SYSTEM32\Drivers\ZS211.sys

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys (file missing)

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys (file missing)

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



46 Servicios.

5 de Carga Automatica.

40 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Vemos este fichero que no conocemos:



C:\Archivos de programa\AutocompletePro\AutocompletePro.dll



Envianoslo para analizar



y elimina esta clave:



O2 - BHO: dymanet - {4d3c886b-bd88-d54c-c67b-4be17d9691bc} - C:\WINDOWS\system32\ac8ecd6e-d87f-2843-95ee-b3601e9c33dd.dll (file missing)



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-2-2011

[rigel2024]

fichero enviado para analisis , y clave eliminada ..esperando respuestas..

[msc hotline sat]

Recibido el fichero solicitado para analizar. en el preanalisis hay una deteccion de Symantec, que aunque no sea significativa, ahi queda:





Symantec 20101.3.0.103 2011.02.16 WS.Reputation.1



y en propiedades:



publisher....: SimplyGen

copyright....: SimplyGen (c) 2009. All rights reserved.

product......: AutocompletePro

description..: AutocompletePro - Helps you search the web

original name: AutocompletePro.dll

internal name: AutocompletePro.dll





dinos si tras eliminar la clave, renombrar el fichero a extension .VIR y reiniciar, persiste el problema, gracias



saludos



ms, 28-2-2011

[msc hotline sat]

Y como sea que puede tratarse de un proceso oculto (sea rootkit o lo que sea), si persiste el problema, lanza el PROCESSEXPLORER.EXE y salva el informe con File -> SAVEAS y nos lo posteas:



[url=http://download.sysinternals.com/Files/ProcessExplorer.zip]Descarga de Processexplorer.ZIP[/url]



ver mas informacion de esta aplicacion de Microsoft en http://technet.microsoft.com/es-es/sysinternals/bb896653



saludos



ms, 28-2-2011

[rigel2024]

he cambiado la extension del fichero y a continuacion publico lo del ProcessExplorer



Process PID CPU Private Bytes Working Set Description Company Name

System Idle Process 0 90.77 0 K 28 K

Interrupts n/a 0 K 0 K Hardware Interrupts

DPCs n/a 0 K 0 K Deferred Procedure Calls

System 4 0 K 240 K

smss.exe 580 168 K 420 K Administrador de sesión de Windows NT Microsoft Corporation

csrss.exe 628 1.720 K 4.372 K Client Server Runtime Process Microsoft Corporation

winlogon.exe 652 7.372 K 2.568 K Aplicación de inicio de sesión de Windows NT Microsoft Corporation

services.exe 696 4.62 1.744 K 3.740 K Aplicación de servicios y controlador Microsoft Corporation

svchost.exe 872 3.104 K 5.056 K Generic Host Process for Win32 Services Microsoft Corporation

wlcomm.exe 2632 19.912 K 29.408 K Windows Live Communications Platform Microsoft Corporation

wmiprvse.exe 900 2.376 K 4.768 K WMI Microsoft Corporation

svchost.exe 932 1.848 K 4.408 K Generic Host Process for Win32 Services Microsoft Corporation

svchost.exe 1012 14.284 K 23.684 K Generic Host Process for Win32 Services Microsoft Corporation

svchost.exe 1048 2.300 K 3.324 K Generic Host Process for Win32 Services Microsoft Corporation

svchost.exe 1312 1.416 K 3.616 K Generic Host Process for Win32 Services Microsoft Corporation

svchost.exe 1368 1.672 K 4.320 K Generic Host Process for Win32 Services Microsoft Corporation

spoolsv.exe 1588 4.036 K 6.036 K Spooler SubSystem App Microsoft Corporation

sched.exe 1636 3.616 K 408 K Antivirus Scheduler Avira GmbH

avguard.exe 1876 88.512 K 17.056 K Antivirus On-Access Service Avira GmbH

svchost.exe 1908 3.204 K 5.944 K Generic Host Process for Win32 Services Microsoft Corporation

svchost.exe 192 2.432 K 4.236 K Generic Host Process for Win32 Services Microsoft Corporation

alg.exe 1464 1.104 K 3.472 K Application Layer Gateway Service Microsoft Corporation

lsass.exe 708 3.824 K 1.820 K LSA Shell (Export Version) Microsoft Corporation

explorer.exe 2160 19.256 K 29.276 K Explorador de Windows Microsoft Corporation

hkcmd.exe 812 912 K 3.500 K hkcmd Module Intel Corporation

avgnt.exe 1780 2.376 K 1.400 K Antivirus System Tray Tool Avira GmbH

GrooveMonitor.exe 1800 1.648 K 5.912 K GrooveMonitor Utility Microsoft Corporation

hffsrv.exe 1808 544 K 2.340 K

PWRISOVM.EXE 1848 724 K 2.520 K PowerISO Virtual Drive Manager PowerISO Computing, Inc.

TaskSwitchXP.exe 1888 772 K 880 K TaskSwitchXP Pro 2.0 Alexander Avdonin

ctfmon.exe 2100 936 K 3.956 K CTF Loader Microsoft Corporation

hardcopy.exe 2164 1.496 K 1.180 K Hardcopy - Drucken Fenster/Bildschirminhalt, Print Window/Screen sw4you, Siegfried Weckmann

Banda Ancha Movil.exe 420 3.08 15.836 K 20.576 K

msnmsgr.exe 404 39.164 K 55.464 K Windows Live Messenger Microsoft Corporation

MessengerDiscovery 2.exe 1724 25.508 K 28.760 K MessengerDiscovery 2 Matt Holwood

firefox.exe 3176 1.54 111.908 K 128.924 K Firefox Mozilla Corporation

WinRAR.exe 4020 7.748 K 11.672 K WinRAR archiver Alexander Roshal

procexp.exe 2532 13.948 K 21.216 K Sysinternals Process Explorer Sysinternals - www.sysinternals.com







espero respuestas gracias

[lucl]

Espera que Msc revise el log pero dime si esto te suena que puedas tener voluntariamente y a que corresponde. Saludos.





Banda Ancha Movil.exe 420 3.08 15.836 K 20.576 K

[rigel2024]

Banda Ancha Movil.exe 420 3.08 15.836 K 20.576 K ..........corresponde a internet movil que se usa en mi pais

[msc hotline sat]

En el informe vemois estos tres ficheros atipicos:



hffsrv.exe

PWRISOVM.EXE

TaskSwitchXP.exe



envianoslos para analizar, gracias





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 1-3-2011

[rigel2024]

hffsrv.exe (programa para proteger archivos)

PWRISOVM.EXE (para montar unidades virtuales)

TaskSwitchXP.exe (es un programa que viene con windows que al presionar alt +tab apareece la imagen )

nunca me han dado problema , no se si es necesario el envio de muestas

[msc hotline sat]

Estos ficheros no los tenemos en nuestros ordenadores con Windows XP



Si quieres enviarlos, los analizamos por si las moscas (EL NOMBRE NO LO ES TODOD) :)



Tu mismo



saludos



ms, 1-3-2011

[rigel2024]

ok enviare los 3 archivos

[rigel2024]

listo enviados , otra cosa en la ubicacion que se encuentra el archivo sospechoso , no puedo acceder por windows la ruta es 'C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet........solo en windows puedo llegar hasta configuracion local , pero usando simbolo del sistema asi puedo llegar y al hacer un ( dir enter) me aparecen archvos raros que no los conozco entre ellos uno que se llama antiphishing y una seria de numeros ..quisas borrando esa carpeta usando el simbolo del sistema se solucionara o no ?

[msc hotline sat]

Arrancando en MODO SEGURO, como Administrador , si pasas el ELISTARA y respondes SI a Eliminar ficheros temporales de Internet, te accederá a dicha carpeta y eliminará su contenido.



Y si antes has enviado muestras, en cuanto se clasifiquen los mails y nos las distribuyan, las analizaremos e informaremos



saludos



ms, 2-3-2011

[msc hotline sat]

Recibidos los tres ficheros, en el preanalisis con el VT:



File name: hffsrv.exe

Submission date: 2011-03-02 11:04:51 (UTC)





Result: 0/ 43 (0.0%)



MD5 : cef2ce5ec49706d5179b11db886d784c

SHA1 : bfd9979580edd0dd51bf48b6a973d9f6b41cdb61



File size : 84480 bytes





_________





File name: PWRISOVM.EXE

Submission date: 2011-03-02 11:09:33 (UTC)







Result: 0/ 43 (0.0%)





File size : 167936 bytes





__________





y el ultimo:



File name: TaskSwitchXP.exe

Submission date: 2011-03-02 11:11:24 (UTC)





Result: 0/ 43 (0.0%)

VT Community



not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.03.02.03 2011.03.02 -

AntiVir 7.11.4.25 2011.03.02 -

Antiy-AVL 2.0.3.7 2011.03.02 -

Avast 4.8.1351.0 2011.02.23 -

Avast5 5.0.677.0 2011.02.23 -

AVG 10.0.0.1190 2011.03.01 -

BitDefender 7.2 2011.03.02 -

CAT-QuickHeal 11.00 2011.03.01 -

ClamAV 0.96.4.0 2011.03.01 -

Commtouch 5.2.11.5 2011.03.02 -

Comodo 7848 2011.03.02 -

DrWeb 5.0.2.03300 2011.03.02 -

Emsisoft 5.1.0.2 2011.03.02 -

eSafe 7.0.17.0 2011.03.01 -

eTrust-Vet 36.1.8192 2011.03.02 -

F-Prot 4.6.2.117 2011.03.02 -

F-Secure 9.0.16160.0 2011.03.02 -

Fortinet 4.2.254.0 2011.03.02 -

GData 21 2011.03.02 -

Ikarus T3.1.1.97.0 2011.03.02 -

Jiangmin 13.0.900 2011.03.02 -

K7AntiVirus 9.91.3990 2011.03.01 -

Kaspersky 7.0.0.125 2011.03.02 -

McAfee 5.400.0.1158 2011.03.02 -

McAfee-GW-Edition 2010.1C 2011.03.01 -

Microsoft 1.6603 2011.03.02 -

NOD32 5919 2011.03.02 -

Norman 6.07.03 2011.03.01 -

nProtect 2011-02-10.01 2011.02.15 -

Panda 10.0.3.5 2011.03.01 -

PCTools 7.0.3.5 2011.03.01 -

Prevx 3.0 2011.03.02 -

Rising 23.47.02.05 2011.03.02 -

Sophos 4.61.0 2011.03.02 -

SUPERAntiSpyware 4.40.0.1006 2011.03.02 -

Symantec 20101.3.0.103 2011.03.02 -

TheHacker 6.7.0.1.143 2011.03.02 -

TrendMicro 9.200.0.1012 2011.03.02 -

TrendMicro-HouseCall 9.200.0.1012 2011.03.02 -

VBA32 3.12.14.3 2011.03.01 -

VIPRE 8582 2011.03.02 -

ViRobot 2011.3.2.4335 2011.03.02 -

VirusBuster 13.6.229.0 2011.03.01 -

Additional informationShow all

MD5 : aceb501dc6253d26039cde2fe82a5576

SHA1 : ec24fd29abfaa6edc33c70398b1103df0a7083e1



File size : 62976 bytes



publisher....: Alexander Avdonin

copyright....: (c) 2004-2006 by Alexander Avdonin

product......: TaskSwitchXP

description..: TaskSwitchXP Pro 2.0

original name: TaskSwitchXP.exe

internal name: TaskSwitchXP.exe

file version.: 2.0.11.0





No se detectan rutinas viricas conocidas en ninguno de los tres





saludos



ms, 2-3-2011



NOTA: De todas formas si estaban en la carpeta temporal de Internet, el ELISTARA los habrá eliminado, dinos si tras reiniciar persiste alguna anomalia, gracias



ms.

[rigel2024]

bueno hice lo que me han pedido arrancar en modo seguro y usar elistara , pero si borra los archivos temporales , por lo menos no lo ha hecho de la carpeta que he mencionado por que al revisarlo en simbolo del sistema aun aparece lo indicado anteriormente...2 preguntas

1.- es posible enviar la imagen de mi escritorio mostrando los archivos para que pudieran ver? (debido a que los nombres de los archivos son muy largos para poder escribirlos)



2.- si borro esa carpera de Archivos temporales de internet , es posible que deje de funcionar algo ?

gracias

[msc hotline sat]

Claro que puede enviar una captura de pantalla de su escritorio, pero poco podremos decirle de ficheros sin ver su contenido, ademas, que si estan en el escritorio posiblemente sean links de aplicaciones, que lo que le podemos decir es que si no las ha instalado voluntariamente, mire de desinstalarlas desde Inicio -> Panel de Control -> Agregar o quitar programas



y respecto al punto 2, los temporales solo sirven en la sesion en la que se crean, pero al finalizar esta, se pueden borrar tranquilamente.



saludos



ms, 2-3-2011

[rigel2024]

ok envie la captura como envio de muestras con contraseña "virus" supongo k es asi , ehm notese que en la ventana de windows en la coinfiguracion local no existe la carpet archivos temporales de internet o no se ve, pero en simbolo de sistema aparece esta carpeta con 3 o 4 archivos mas donde tambien se encuetra el archo antiphishing , espero comentario y diganme si puedo borrarla manualmente desde simbolo del sistema

[msc hotline sat]

Vista la captura del escritorio.



Recuerda que si no tienes configurado ver carpetas ocultas y de sistema, hay algunas que no verás...



Y si no has instalado voluntariamente este Antiphishing, eliminalo, que vete a saber si es lo que dice...



Por otro lado, puedes probar la utilidad que tenemos para hacer limpieza de temporales, cookies y demás, asi llegarás a todas partes





ELITEMPO



http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



SALUDOS



MS, 2-3-2011

[rigel2024]

la carpeta ha sido eliminada de forma manual , pero aun persiste el problema , aplique la opcion de mostrar los archivos ocultos y los protegidos por el sistema pero aun persiste , esperando instrucciones

[rigel2024]

otra cosa he encontrado dos archivos llamados "ZS211Cap" y "ZSSnp211" lo enviare como muestras para que lo analisen , de ante mano elistara no me lo ha detectado

[msc hotline sat]

Recibidos dichos ficheros no se detectan en ellos rutinas sospechosas.



File name: ZS211Cap.exe

Submission date: 2011-03-03 09:40:43 (UTC)



Result: 0/ 43 (0.0%)



MD5 : 5e4798c7598776f4f258b478e8bb8f93

SHA1 : 21fc7618a0d5cfc2488262cd45a9aae4751c3eab



File size : 77824 bytes



publisher....: ZSMC

copyright....: Copyright (C) 2007

product......: ZSMC30xCap

description..: ZSMC30xCap

original name: ZSMC30xCap.exe

internal name: ZSMC30xCap

file version.: 1, 0, 0, 3





_________





File name: ZSSnp211.exe

Submission date: 2011-03-03 09:42:47 (UTC)



Result: 0/ 43 (0.0%)



MD5 : 0560b36a9a58dcf6698545f9521eabf2

SHA1 : d32e735dca20f47d5716cb593a81933872de15df



File size : 57344 bytes



publisher....: ZSMCSNAP

copyright....: Copyright (C) 2006 ZSMC Corporation

product......: ZSMCSNAP

description..: ZSMCSNAP

original name: ZSMCSNAP.exe

internal name: BIGDOG

file version.: 3, 6, 818, 7







saludos



ms, 3-3-2011

[rigel2024]

he borrado todo el contenido de la carpeta archivos temporales de internet con "ubuntu" , segundo paso desintale el mozilla e instale una version mas antigua , esperado resultados . aun que en esa carpeta se crean unos archivos llamados cookie y otros que no conozco ...

esperando resultados y luego informare

[rigel2024]

nop , el problema persiste , aun sale el aviso de virus en temporales.. otra cosa hace unos dias que quisas coincida con el mismo dia que se origino el problema, descargue un juego que se llama Zuma deluxe al instalar me salio un aviso de virus creo pero le denegue el acceso , el tema fue que al desintalarlo no lo pude hacer me salia un error , asi k con c cleaner borre la entrada , quisas la desinstalacion no se llevo a cabo de la mejor manera , puede ser que ese archivo haya este causando el problema , ademas borre el archivo comprimido para ver si lo podian revisar , eso si me crea un text en la carpeta de temporales que se llama algo de cookie en su interior algo asi



NAP

V=1.9&E=a94&C=mZr9itNMg7p1dkFI10WFwxNvUL0vJ2MkeHlaGd2DtNozCfdq2OFcow&W=1

zune.net/

1088

2180803456

30157039

1142870256

30136864

*

ANON

A=407EC119F33436173E9BF420FFFFFFFF&E=aee&W=1

zune.net/

1088

323709824

30177156

1142710256

30136864

*

es probable que sea esto , pero ya no se como solucionarlo

espero instrucciones

[msc hotline sat]

Pues si recuperas este fichero del Zuma , envianoslo y lo analizaremos...



saludos



ms, 4-3-2011

[rigel2024]

enviare a continuacion el archivos contiene dos carpetas tube que bajarlo de nuevo por que no lo tenia , en la carpeta esta el setup y un keygen que al parecer esta infectado , kisas eso me causa el problema , ademas ..no se si recuerdo bien pero al instalar el setup algo me salio esa vez que intente instalar



Virus or unwanted program 'TR/Horse.UC [trojan]'

detected in file 'C:\WINDOWS\Temp\Rar$EX03.890\Zuma.Deluxe.v1.0\KeyGen\keymaker.exe.

Action performed: Allow access



espero instruccion