Ayuda por favor, estoy desesperado, posible virus

[cogswap]

Hola a todos a ver si me podéis echar una manilla porque estoy desesperado.



Tengo una red de unos 60 pc´s con XP, también con 3 servidores 2003 server, conectada a otras sedes mediante vpn.



Hoy Lunes, sin saber por qué, y sin tocar nada, cuando he llegado estaba todo saturado, todo el tráfico.



Un muchos pc´s ( no en todos) se me cerraba la sesión con el usuario que tiene cada pc, y se me quedaba una pantalla de inicio de sesión con el usuario SQL, y password en blanco. Me ha pasado en muchos pc´s. Volvía a loguearme con su correspondiente usuario y de nuevo cuando quería me cerraba la sesión de los pc´s que han dado problemas y me salía de nuevo la pantalla de login con el usuario sql. Ese usuario anteriormente NO estaba creado en esos pc´s.







Después de volverme loco y tener a la gente parada, y casi parada cardíaca mía, se me ocurre en el panel de control /sistema/Remoto, desmarcar la asistencia remota y control remoto, para que nadie pueda acceder ya que me he dado cuenta que lo de sql son como peticiones desde algún sitio a muchos pc´s y estos se cierran. Con lo cual he hecho eso y ha mejorado.



Pero la red sigue saturada, internet va fatal, asi que he llamado a Telefónica y me han comentado en el servico Net Lan que en nuestra sede uno de los servidores tenía...900 conexiones por el puerto 3389 que según el hombre es el de Escritorio remoto, con lo cual me ha empezado a cuadrar dado el problema que he comentado antes.



He pasado antivirus, antiroot kits, elistara, elitriip a esos servers y nada, no detectan nada.



Como puedo mirar quien es el pc que origina esas peticiones? sabéis de algún programa que sea fácil de verlo para ese puerto? o de donde viene la saturación?



Saludos y gracias!

[lucl]

Hola he buscado informacion sobre el puerto 3389 y si es el de escritorio remoto. Ademas si pones ese dato en google te sale como hackear un pc (para que veas como se las gastan) . En fin, se me ocurre que en los pcs infectados trates de pasar elitriip pero arrancando en modo seguro. Tambien puedes descargarte el sprocess, el problema es que si son en 20 pcs por ejemplo pues tendras que esperar que Msc mañana te diga algo mas directamente. Comprueba de momento que tengas deshabilitada la opcion de escritorio remoto en los pcs. Y desde luego yo pondria firewall para que te bloquee ese puerto y cuaquier otro que puedas tener abierto por si las moscas. Saludos.

[msc hotline sat]

Efectivamente, este port 3389 es el que se usa para escritorio remoto, y es posible que una o varias máquinas estén infectadas con algun malware que lo esté provocando.



Hay dos cosas que puedes probar, una es el SPROCES, y postearnos el log resultante para analizarlo:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

y la otra, desde una ventana al DOS, lanzar un " NETSTAT -a " a ver si se ve la IP que lo está provocando.



Aun no hay conocimiento de malware que lo haga, pero siempre alguien tiene que ser el primero...



A la vista de dichos informes procuraremos ayudarte.



saludos



ms, 23-8-2011

RSPCAT-MONTOR

[cogswap]

Hola gracias por adelantado, os posteo el informe del Sproclog de mi pc, luego os posteo el del servidor del que sospecho, al que comentaron que van todas las conexiones por el 3389:



(23-8-2011 10:54:14 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Equipo: PC-DMAZO

Usuario: dmazo

Sesión de Usuario: dmazo



66 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

H:\ARCHIVOS DE PROGRAMA\COBIAN BACKUP 10\CBVSCSERVICE.EXE

C:\WINDOWS\SYSTEM32\CRYPSERV.EXE

C:\ARCHIVOS DE PROGRAMA\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MAGIX SERVICES\DATABASE\BIN\FABS.EXE

C:\ARCHIVOS DE PROGRAMA\GFI\LANGUARD NETWORK SECURITY SCANNER 7.0\LNSSATT.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\DTS\BINN\MSDTSSRVR.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL.5\MSSQL\BINN\SQLSERVR.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL.2\OLAP\BIN\MSMDSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HTC\INTERNET PASS-THROUGH\PASSTHRUSVR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

H:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL.4\REPORTING SERVICES\REPORTSERVER\BIN\REPORTINGSERVICESSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLBROWSER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\VIEWPOINT\COMMON\VIEWPOINTSERVICE.EXE

C:\WINDOWS\SYSTEM32\VMNAT.EXE

S:\ARCHIVOS DE PROGRAMA\VMWARE\VMWARE VCENTER CONVERTER STANDALONE\VMWARE-CONVERTER-A.EXE

S:\ARCHIVOS DE PROGRAMA\VMWARE\VMWARE VCENTER CONVERTER STANDALONE\VMWARE-CONVERTER.EXE

C:\ARCHIVOS DE PROGRAMA\REALVNC\VNC4\WINVNC4.EXE

H:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL.3\MSSQL\BINN\MSFTESQL.EXE

C:\ARCHIVOS DE PROGRAMA\VMWARE\VMWARE WORKSTATION\VMWARE-AUTHD.EXE

C:\WINDOWS\SYSTEM32\VMNETDHCP.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\ARCHIVOS DE PROGRAMA\VIEWPOINT\VIEWPOINT MANAGER\VIEWMGR.EXE

C:\WINDOWS\STSYSTRA.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 8.0\ACROBAT\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\SECCOPY\SECCOPY.EXE

C:\ARCHIV~1\MI3AA1~1\RAPIMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MACROVISION SHARED\FLEXNET PUBLISHER\FNPLICENSINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE11\OUTLOOK.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\PROSETWIRED\NCS\SYNC\NETSVC.EXE

C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE

C:\ARCHIVOS DE PROGRAMA\REALVNC\VNC4\VNCVIEWER.EXE

C:\DOCUMENTS AND SETTINGS\DMAZO\ESCRITORIO\DESCARGA\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-1005\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'reginodiaz')

R0 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-1005\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'reginodiaz')

R0 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-1006\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'LNSS_MONITOR_USR')

R0 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-1006\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'LNSS_MONITOR_USR')

R0 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-1023\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Acronis Agent User')

R0 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-1023\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Acronis Agent User')

R0 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')

R0 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador')

R0 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1607\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ig/dell?hl=es&client=dell-row&channel=es&ibd=0060914 (User 'sql')

R0 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1607\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es/hws/sb/dell-row/es/side.html?channel=es (User 'sql')

R0 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'administrador.DERAZA.000')

R0 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'administrador.DERAZA.000')

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\ARCHIV~1\FlashGet\jccatch.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\ARCHIV~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [Second Copy] "C:\Archivos de programa\SecCopy\SecCopy.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'reginodiaz')

O4 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-1005\..\Run: [Second Copy 2000] "C:\ARCHIV~1\SecCopy\SecCopy.exe" (User 'reginodiaz')

O4 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'LNSS_MONITOR_USR')

O4 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-1023\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Acronis Agent User')

O4 - HKUS\S-1-5-21-2302036501-1051562940-1855829140-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')

O4 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1607\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'sql')

O4 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1607\..\Run: [LightScribe Control Panel] C:\Archivos de programa\Archivos comunes\LightScribe\LightScribeControlPanel.exe -hidden (User 'sql')

O4 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'administrador.DERAZA.000')

O4 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-500\..\Run: [LightScribe Control Panel] C:\Archivos de programa\Archivos comunes\LightScribe\LightScribeControlPanel.exe -hidden (User 'administrador.DERAZA.000')

O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Archivos de programa\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = C:\WINDOWS\Installer\{AC76BA86-1040-7D00-7760-000000000003}\_SC_Acrobat.exe

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 (User 'reginodiaz')

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html (User 'LNSS_MONITOR_USR')

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html (User 'LNSS_MONITOR_USR')

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html (User 'LNSS_MONITOR_USR')

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html (User 'LNSS_MONITOR_USR')

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html (User 'LNSS_MONITOR_USR')

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html (User 'Acronis Agent User')

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html (User 'Acronis Agent User')

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html (User 'Acronis Agent User')

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html (User 'Acronis Agent User')

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html (User 'Acronis Agent User')

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html (User 'Administrador')

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html (User 'Administrador')

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html (User 'Administrador')

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html (User 'Administrador')

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html (User 'Administrador')

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html (User 'sql')

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html (User 'sql')

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html (User 'sql')

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html (User 'sql')

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html (User 'sql')

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html (User 'administrador.DERAZA.000')

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html (User 'administrador.DERAZA.000')

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html (User 'administrador.DERAZA.000')

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html (User 'administrador.DERAZA.000')

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html (User 'administrador.DERAZA.000')

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Extract Flash Video with Bytescout... - {5629FD3C-3B63-4561-9C47-7280D6C5EF06} - (no file)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\VMWARE\VMWARE WORKSTATION\VSOCKLIB.DLL

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\VMWARE\VMWARE WORKSTATION\VSOCKLIB.DLL

O16 - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} (Java Plug-in 1.6.0_25) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_25) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{337DEB19-2429-4D23-9CBC-C9C46F6F969B}: NameServer = 128.101.211.7,80.58.61.250

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs:

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: RAINIT - RAINIT.DLL

O20 - Winlogon Notify: WGALOGON - Invalid registry found

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455296 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\sptd.sys (de 716272 bytes) ()

WinSys\Drivers\timntr.sys (de 569632 bytes) () Acronis

WinSys\Drivers\vmx86.sys (de 857392 bytes) () VMware, Inc.

WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.7.5.0 (AegisP) - Cisco Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: Aladdin USB Key (aksusb) - Aladdin Knowledge Systems - C:\WINDOWS\SYSTEM32\DRIVERS\aksusb.sys

O23 - Service: Aspi32 - Adaptec - C:\WINDOWS\SYSTEM32\drivers\aspi32.sys

O23 - Service: ATE_PROCMON - Unknown owner - C:\Archivos de programa\Anti Trojan Elite\ATEPMon.sys (file missing)

O23 - Service: Cobian Backup 10 Volume Shadow Copy service (cbVSCService) - CobianSoft, Luis Cobian - h:\Archivos de programa\Cobian Backup 10\cbVSCService.exe

O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Cisco Systems IPsec Driver (CVPNDRVA) - Cisco Systems, Inc. - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys

O23 - Service: Team MFP Comm Driver (DgiVecp) - Samsung Electronics Co., Ltd. - C:\WINDOWS\SYSTEM32\Drivers\DgiVecp.sys

O23 - Service: DLABOIOM - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLABOIOM.SYS

O23 - Service: DLADResN - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLADResN.SYS

O23 - Service: DLAIFS_M - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLAIFS_M.SYS

O23 - Service: DLAOPIOM - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLAOPIOM.SYS

O23 - Service: DLAPoolM - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLAPoolM.SYS

O23 - Service: DLAUDFAM - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLAUDFAM.SYS

O23 - Service: DLAUDF_M - Sonic Solutions - C:\WINDOWS\SYSTEM32\DLA\DLAUDF_M.SYS

O23 - Service: DRVNDDM - Sonic Solutions - C:\WINDOWS\SYSTEM32\Drivers\DRVNDDM.SYS

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Nod32 AV (EFix33) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Archivos de programa\Archivos comunes\MAGIX Services\Database\bin\FABS.exe

O23 - Service: GFI LANguard N.S.S. 7.0 Attendant Service - GFI Software Ltd. - C:\Archivos de programa\GFI\LANguard Network Security Scanner 7.0\lnssatt.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

*O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Archivos de programa\LogMeIn Hamachi\hamachi-2.exe

O23 - Service: VMware hcmon (hcmon) - VMware, Inc. - C:\WINDOWS\system32\drivers\hcmon.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Búsqueda de texto de SQL Server (MSSQLSERVER) (msftesql) - Unknown owner - H:\Archivos de programa\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\msftesql.exe" -s:MSSQL.3 - (file missing)

O23 - Service: SQL Server Analysis Services (MSSQLSERVER) (MSSQLServerOLAPService) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe" -s "C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\O (file missing)

O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZinw12.dll

O23 - Service: Net Control 2 Administrator. Helper Service. (NetControl2.AdminHelper) - Unknown owner - C:\Archivos de programa\Net Control 2\ahs.exe (file missing)

O23 - Service: Net Control 2 Server (NetControl2Server) - Unknown owner - C:\Archivos de programa\Net Control 2\ncserver.exe (file missing)

O23 - Service: Internet Pass-Through Service (PassThru Service) - Unknown owner - C:\Archivos de programa\HTC\Internet Pass-Through\PassThruSvr.exe

O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZipm12.dll

O23 - Service: RemotelyAnywhere Kernel Information Provider (RAInfo) - Unknown owner - C:\Archivos de programa\RemotelyAnywhere\x86\RaInfo.sys (file missing)

O23 - Service: RemotelyAnywhere Remote File System Driver (RARfsDriver) - LogMeIn, Inc. - C:\WINDOWS\system32\drivers\RARfsDriver.sys

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\Cyberlink\Shared files\RichVideo.exe

O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)

O23 - Service: Scutum50 NDIS Protocol Driver (Scutum50) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\Scutum50.sys (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Sentinel - Rainbow Technologies, Inc. - C:\WINDOWS\System32\Drivers\SENTINEL.SYS

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Viewpoint Service - Viewpoint Corporation - C:\Archivos de programa\Viewpoint\Common\ViewpointService.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware vmci (vmci) - VMware, Inc. - C:\WINDOWS\system32\Drivers\vmci.sys

O23 - Service: VMware Bridge Protocol (VMnetBridge) - VMware, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\vmnetbridge.sys

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Network Application Interface (VMnetuserif) - VMware, Inc. - C:\WINDOWS\system32\drivers\vmnetuserif.sys

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

O23 - Service: VMware vCenter Converter Agent (vmware-converter-agent) - Unknown owner - S:\Archivos de programa\VMware\VMware vCenter Converter Standalone\vmware-converter-a.exe" -s "C:\Documents and Settings\All Users\Datos de programa\VMware\VMware vCenter Converter Standalone\converter-agent.xml (file missing)

O23 - Service: VMware vCenter Converter Server (vmware-converter-server) - Unknown owner - S:\Archivos de programa\VMware\VMware vCenter Converter Standalone\vmware-converter.exe" -s "C:\Documents and Settings\All Users\Datos de programa\VMware\VMware vCenter Converter Standalone\converter-server.xml (file missing)

O23 - Service: VMware vmx86 (vmx86) - VMware, Inc. - C:\WINDOWS\system32\Drivers\vmx86.sys

O23 - Service: Vstor2 MntApi 1.0 Driver (vstor2-mntapi10) - VMware, Inc. - S:\Archivos de programa\VMware\VMware vCenter Converter Standalone\vstor2-mntapi10.sys

O23 - Service: Vstor2 P2V30 Virtual Storage Driver (vstor2-p2v30) - Unknown owner - C:\Archivos de programa\VMware\VMware Converter\vstor2-p2v30.sys (file missing)

O23 - Service: Vstor2 WS60 Virtual Storage Driver (vstor2-ws60) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vstor2-ws60.sys

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ad-Watch Connect Kernel Filter (Ad-Watch Connect Filter) - Unknown owner - C:\WINDOWS\system32\drivers\NSDriver.sys (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AnyDVD - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\AnyDVD.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: B-Service - Unknown owner - C:\Documents and Settings\dmazo\Datos de programa\Mikogo\B-Service.exe

O23 - Service: Bluetooth Audio Service (BlueletAudio) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys (file missing)

O23 - Service: Bluetooth SCO Audio Service (BlueletSCOAudio) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\BlueletSCOAudio.sys (file missing)

O23 - Service: Modified Clusters Tracking Driver (bmdrvr) - VMware, Inc. - C:\WINDOWS\system32\drivers\bmdrvr.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys (file missing)

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys (file missing)

O23 - Service: Bluetooth HID Enumerator (BTHidEnum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vbtenum.sys (file missing)

O23 - Service: cpudrv - Unknown owner - C:\Archivos de programa\SystemRequirementsLab\cpudrv.sys

O23 - Service: CSTDIDRV - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\CSTDI50.sys (file missing)

O23 - Service: Cisco Systems VPN Adapter (CVirtA) - Cisco Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\CVirtA.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Deterministic Network Enhancer Miniport (DNE) - Deterministic Networks, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\dne2000.sys

O23 - Service: DNINDIS5 NDIS Protocol Driver (DNINDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\system32\DNINDIS5.SYS

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Controlador de adaptador 3Com EtherLink XL 90XB/C (EL90XBC) - 3Com Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\el90xbc5.sys

O23 - Service: ElbyDelay - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: HUAWEI USB-NDIS miniport (ewusbnet) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbnet.sys

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Archivos de programa\Archivos comunes\MAGIX Services\Database\bin\fbserver.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: F-Secure BlackLight Engine Driver (fsbl) - Unknown owner - C:\DOCUME~1\dmazo\CONFIG~1\Temp\Rar$EX00.734\fsbldrv.sys (file missing)

O23 - Service: ebro interface driver (FTDIBUS) - FTDI Ltd. - C:\WINDOWS\SYSTEM32\drivers\ftdibus.sys

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE

O23 - Service: HTC Device Driver (HTCAND32) - HTC, Corporation - C:\WINDOWS\SYSTEM32\Drivers\ANDROIDUSB.sys

O23 - Service: HTC NDIS Protocol Driver (htcnprot) - Windows (R) Win 7 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\htcnprot.sys

O23 - Service: HUAWEI Mobile Connect - USB Smart Card Reader (Huawei) - Huawei Tech. Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewdcsc.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: IBExpertBackupRestore - Unknown owner - C:\Archivos de programa\HK-Software\IBExpertBackupRestore\hkIBRS.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: ncvhook - Net Software 2 - C:\WINDOWS\SYSTEM32\DRIVERS\ncvhook.sys

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Nokia USB Phone Parent Driver (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Communication Driver (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: ramirr - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ramirr.sys

O23 - Service: Smartphone BlackBerry (RimUsb) - Research In Motion Limited - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys

O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys

O23 - Service: Ralink 802.11n USB Wireless LAN Card Driver (rt2870) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\rt2870.sys (file missing)

O23 - Service: Conceptronic RT73 Wireles Driver (RT73) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\rt73.sys (file missing)

O23 - Service: Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter (RTLWUSB) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8187.sys

O23 - Service: Prolific2 Serial port driver (Ser2pl) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ser2pl.sys (file missing)

O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SigmaTel High Definition Audio CODEC (STHDA) - SigmaTel, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys

O23 - Service: Bluetooth COM Port (tosporte) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\tosporte.sys (file missing)

O23 - Service: Bluetooth RFBUS (tosrfbd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfbd.sys (file missing)

O23 - Service: Bluetooth RFBNEP (tosrfbnp) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\tosrfbnp.sys (file missing)

O23 - Service: Bluetooth RFCOMM (Tosrfcom) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\tosrfcom.sys (file missing)

O23 - Service: Bluetooth RFHID (Tosrfhid) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\Tosrfhid.sys (file missing)

O23 - Service: Bluetooth Personal Area Network (tosrfnds) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfnds.sys (file missing)

O23 - Service: Bluetooth Audio (TosRfSnd) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\tosrfsnd.sys (file missing)

O23 - Service: Bluetooth USB Controller (Tosrfusb) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfusb.sys (file missing)

O23 - Service: Telsey 802.11g Wireless USB2.0 Adapter (TWLAN) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\TWLANnd5.sys (file missing)

O23 - Service: USBDeviceShare Bus Enumerator (udsbus) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\udsbus.sys (file missing)

O23 - Service: USBDeviceShare USB Device Stub (udsstub) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\udsstub.sys (file missing)

O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Archivos de programa\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Archivos de programa\VMware\VMware Workstation\\" -s ufad-p2v.xm (file missing)

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: vaxscsi - Unknown owner - C:\WINDOWS\System32\Drivers\vaxscsi.sys (file missing)

O23 - Service: Virtual Serial port driver (VComm) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys (file missing)

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys (file missing)

O23 - Service: VMware kbd (vmkbd) - VMware, Inc. - C:\WINDOWS\system32\drivers\VMkbd.sys

O23 - Service: VMware Virtual Ethernet Adapter Driver (VMnetAdapter) - VMware, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\vmnetadapter.sys

O23 - Service: Gigabyte GN-WLBZ series IEEE 802.11b Wireless LAN Driver (USB)(Gigabyte) (ZD1201U(Gigabyte)) - ZyDAS Technology Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\zd1201u.sys

O23 - Service: Wireless IEEE 802.11g Wireless LAN Driver (USB)(WirelessLAN) (ZD1211U(WirelessLAN)) - WirelessLAN Technology Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\zd1211u.sys

O23 - Service: ZDNDIS5 NDIS Protocol Driver (ZDNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\system32\ZDNDIS5.SYS

O23 - Service: ZDPNDIS5 NDIS Protocol Driver (ZDPNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\system32\ZDPNDIS5.SYS



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: AliIde - Acer Laboratories Inc. - C:\WINDOWS\system32\DRIVERS\aliide.sys

O23 - Service: Controlador de filtro de bus AMD AGP (amdagp) - Advanced Micro Devices, Inc. - C:\WINDOWS\system32\DRIVERS\amdagp.sys

O23 - Service: asc - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc.sys

O23 - Service: asc3550 - Advanced System Products, Inc. - C:\WINDOWS\system32\DRIVERS\asc3550.sys

O23 - Service: CmdIde - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys

O23 - Service: dac2w2k - Mylex Corporation - C:\WINDOWS\system32\DRIVERS\dac2w2k.sys

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: mraid35x - American Megatrends Inc. - C:\WINDOWS\system32\DRIVERS\mraid35x.sys

O23 - Service: ql1080 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1080.sys

O23 - Service: ql12160 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql12160.sys

O23 - Service: ql1280 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql1280.sys

O23 - Service: Filtro de bus SIS AGP (sisagp) - Silicon Integrated Systems Corporation - C:\WINDOWS\system32\DRIVERS\sisagp.sys

O23 - Service: Sparrow - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\sparrow.sys

O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\system32\DRIVERS\symc810.sys

O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\system32\DRIVERS\symc8xx.sys

O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_hi.sys

O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\system32\DRIVERS\sym_u3.sys

O23 - Service: ultra - Promise Technology, Inc. - C:\WINDOWS\system32\DRIVERS\ultra.sys



157 Servicios.

58 de Carga Automatica.

81 de Carga Manual.

18 Deshabilitados.

[cogswap]

Por cierto! por si sirve de algo en el servidor sospechoso me acaba de saltar el Nod32 diciendo ésto:



\\tsclient\a\a.dll Win32/Agent.SYL Troyano Pero no me lo desinfecta yo creo porque viene de algún sitio de red!

No puedo ni tirarlo ping a lo de tsclient por si me dice la ip.

[msc hotline sat]

Vemos este fichero sospechoso: "C:\Archivos de programa\LogMeIn Hamachi\hamachi-2-ui.exe"





cuya informacion no es favorable: http://www.prevx.com/filenames/757657470330158830-X1/HAMACHI-2-UI.EXE.html





Añade .VIR a la extension de dicho fichero y envianoslo para analizar





>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Además, vemos que utilizas una VPN vulnerable: O23 - Service: Cisco Systems IPsec Driver (CVPNDRVA) - Cisco Systems, Inc. - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys



segun http://xforce.iss.net/xforce/xfdb/39694



pero esto es a voluntad de cada uno...





Tras recibir la muestra solicitada, la analizaremos e informaremos



saludos



ms, 23-8-2011









NOTA: y de la ultima informacion del NOD32, añade .VIR a la extension del AGENT.SYL y envianoslo tambien para analizar, a ver si es esto...

[cogswap]

Buenas!



Estoy seguro que tiene que ver algo el virus que comento, me acaba de saltar el nod32 en más pc´s, ésto no hay quien lo quite!



Me vuelve aparecer lo de \\tsclient\a\a.dll Win32/Agent.SYL

[lucl]

Ya te indico Msc que le añadieras extension .vir al archivo



\\tsclient\a\a.dll Win32/Agent.SYL



de modo que quede [b]tsclient\a\a.dll.vir[/b] y que lo envies a analizar.¿ Lo hiciste? Y la otra muestra que te pidio? Si no envias los archivos no podremos ayudarte :? . Ademas Msc te dice, te copio





[b]Además, vemos que utilizas una VPN vulnerable: O23 - Service: Cisco Systems IPsec Driver (CVPNDRVA) - Cisco Systems, Inc. - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys



segun http://xforce.iss.net/xforce/xfdb/39694[/b]



Y eso creo que es primordial que decidas si quieres seguir usandolo y que nos comentes al respecto claro. Saludos. :D

[cogswap]

El nombre del a.dll ha cambiado y ahora le he podido coger del local, os envío las muestras!, sigue diciendo que es el mismo troyano. Os lo subo en rar, he añadido la extensión de los ficheros a vir, los ficheros se van cambiando de nombre.



Sobre el hamachi le uso para vpn´s

Y el fichero Cisco de VPN también lo uso para conectar con Net Lan a sedes desde fuera pero lo voy a desinstalar por si acaso.



Muchísimas gracias por como os estáis portando, estoy algo hundido porque se me está llendo de las manos.

[msc hotline sat]

Descargado el fichero vir.rar y eliminado del post



En el preanalisis se detectan virus



Se envia a monitorizacion e informaremos al respecto.



saludos



ms, 24-8-2011





Gracias lucl por tu rápida actuación, evitando que se pudiera infectar alguien al descargarlo. Ya puedes volver a poner este Tema en su sitio. ms.

[lucl]

No se si ha dado tiempo a monitorizar hoy tus envios en el nuevo elistara, por si acaso descargatelo de nuevo y pasalo y peganos el Infosat nuevo otra vez. En cuanto al Cisco Vpn quizas sea bueno que de momento lo desisntales y luego ya te planteas volver a ponerlo. Primero quitemos los virus. Saludos.

[msc hotline sat]

Veo que lucl no leyó mi privado antes de postear su última respuesta a este Tema:


[quote="msc "]Terminada la monitorizacion del fichero de marras, pasamos a controlarlo como BACKDOOR DSBOT , como verás que lo controlaba algun que otro antivirus, en los preanalisis del VirusTotal.



Por ello pasamos a controlarlo con el ELITRIIP, a partir de la version 7.56 de hoy, que ya está disponible en la web.



Te lo digo para que puedas ponerlo en el Tema cuando lo resitues de nuevo en su sitio.



saludos



ms, 24-8-2011



Enviado: Mié Ago 24, 2011 3:57 pm
[/quote]

Al ya controlar con el ELITRIIP otro Backdoor de la misma familia DSBOT, este tambien lo pasamos a controlar con dicha utilidad ELITRIIP, no con el ELISTARA de demás los troyanos:


[quote="para DESCARGAR el ELITRIIP, msc"]
http://www.zonavirus.com/descargas/descargar-elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso [/quote]



saludos



ms, 24-8-2011

[cogswap]

Estoy pasando el Elitrip nuevo que me comentáis, aunque me suena haberle pasado ayer pero por si acaso lo hago de nuevo.



He notado más cosas por si os sirve de ayuda:

Por fin se porque Internet se queda tieso, ahora entiendo también lo de que echaba de las sesiones a muchos equipos Windows Xp con Sp3 actualizados.

Un técnico de Telefonica me ha dado pistas buenas, por lo visto en el Net Lan que tengo, a las 1500 conexiones simultáneas, corta, a las 800 ya está casi tieso. Total que en la web de administración del Net Lan de Movistar permite ver que equipos tienen conexiones.

Y en la mayoría apuntan a 5 equipos, 2 de ellos servidores! y los que más se conectan son los servidores. Os cuento: sobretodo uno de ellos, pone en el Net Lan que está enviando continuamente unas 500 conexiones incluso 1000, hacia el puerto 3389 (Escritorio Remoto) a direcciones de internet desconocidas!!, es como si mi servidor y los otros 4 equipos sospechosos enviasen continuamente peticiones de escritorio remoto!! Ahora entiendo por qué me pasaba lo que os comento de que se iniciaban en los equipos con Xp sesiones remotas solas! El bloqueado el ataque como os dije, quitando a los equipos la opción de que acepten conexiones entrantes de escritorio remoto.



Además creo que el bicho que tengo, intenta bajarse más troyanos como el que os he enviado. Le he pasado al servidor de más conexiones el nod32 Businness actualizado y no detecto nada! Ese server no debería hacer ni una petición de salida de escritorio remoto por eso es sospechoso junto al gran nº de conexiones que hace.



Lo suyo es desinfectarlos, pero si fuese capaz de aunque sea bloquear el envío por ese puerto en ese servidor y en los equipos sospechosos sería de gran ayuda pero no tengo cortafuegos en sel server porque comparte muchos programas, sql, etc. Alguien sabe como bloquearlo mientras detectamos cual es la causa??





Os pongo log del Elitrip acaba de terminar:





(24-8-2011 22:06:27 (GMT))

EliTriIP v7.56 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 24 de Agosto del 2011)

---------------------------------------------

Usuario: jlopez

ID de Usuario: S-1-5-21-3373412830-3461631215-2468617258-1138



Lista de Acciones (por Accin Directa):

Detectado HOSTS no Standar.



(24-8-2011 22:06:29 (GMT))

EliTriIP v7.56 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 24 de Agosto del 2011)

---------------------------------------------

Usuario: sql

ID de Usuario: S-1-5-21-3373412830-3461631215-2468617258-1607



Lista de Acciones (por Accin Directa):

Detectado HOSTS no Standar.



(24-8-2011 22:06:32 (GMT))

EliTriIP v7.56 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 24 de Agosto del 2011)

---------------------------------------------

Usuario: Administrador.DERAZA

ID de Usuario: S-1-5-21-3373412830-3461631215-2468617258-500



Lista de Acciones (por Accin Directa):

Detectado HOSTS no Standar.



(24-8-2011 22:06:35 (GMT))

EliTriIP v7.56 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 24 de Agosto del 2011)

---------------------------------------------

Usuario: sqlserver

ID de Usuario: S-1-5-21-57135456-3982227207-630664999-1022



Lista de Acciones (por Accin Directa):

Detectado HOSTS no Standar.



(24-8-2011 22:06:37 (GMT))

EliTriIP v7.56 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 24 de Agosto del 2011)

---------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-57135456-3982227207-630664999-500



Lista de Acciones (por Accin Directa):

Detectado HOSTS no Standar.



(24-8-2011 22:13:46 (GMT))

EliTriIP v7.56 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 24 de Agosto del 2011)

---------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-57135456-3982227207-630664999-500



Lista de Acciones (por Exploracin):

Explorando "C:\"



N Total de Directorios: 7142

N Total de Ficheros: 45434

N de Ficheros Analizados: 17006

N de Ficheros Infectados: 0

N de Ficheros Limpiados: 0



(24-8-2011 22:17:23 (GMT))

EliTriIP v7.56 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 24 de Agosto del 2011)

---------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-57135456-3982227207-630664999-500



Lista de Acciones (por Exploracin):

Explorando "D:\"



N Total de Directorios: 818

N Total de Ficheros: 9453

N de Ficheros Analizados: 889

N de Ficheros Infectados: 0

N de Ficheros Limpiados: 0

[cogswap]

Un ejemplo de lo que os comento de como aparece en Net Lan (las ips son ficticias):


[code] Ip publica Origen Ip local Origen Ip Destino

tcp 89.91.207.74:4713 121.151.201.170:4713 129.150.175.45:3389
tcp 89.91.207.74:4714 121.151.201.170:4714 15.223.226.117:3389
tcp 89.91.207.74:4715 121.151.201.170:4715 50.197.240.90:3389
tcp 89.91.207.74:4716 121.151.201.170:4716 50.17.137.136:3389[/code]

En este ejemplo hay solo 4 líneas pero para un mismo ip local origen he visto hasta 800 o 1000 conexiones...

[msc hotline sat]

Pues no veo la detección del DSBOT, posiblemente tengas el fichero con el .VIR añadido, dejalo sin el .VIR y pasa de nuevo este ELITRIIP, deberá encontrarlo y eliminarlo, y mejor hazlo arrancando en MODO SEGURO no sea que se oculte en modo normal...



Y se detecta el HOSTS modificado, si no es un cambio voluntario, dejale que restaure a su valor oroginal, por si las redirecciones del mismo fueran la causa del problema



y nos cuentas el resultado, gracias



saludos



ms, 25-8-2011







AMEXO: Y suerte que las IP son ficticias, sino serían sospechosas:



89.91.207.74 FR France A8 Ile-de-France Vincennes 48.8500 2.4333 Bouygues Telecom Bouygues Telecom

121.151.201.170 KR Korea, Republic of 11 Seoul-t'ukpyolsi Seoul 37.5664 126.9997 Korea Telecom yecheonjeonsongsil

129.150.175.45 US United States CA California Santa Clara 95054 37.3961 -121.9617 SUN MICROSYSTEMS SUN MICROSYSTEMS 807 408

89.91.207.74 FR France A8 Ile-de-France Vincennes 48.8500 2.4333 Bouygues Telecom Bouygues Telecom

121.151.201.170 KR Korea, Republic of 11 Seoul-t'ukpyolsi Seoul 37.5664 126.9997 Korea Telecom yecheonjeonsongsil

15.223.226.117 US United States 38.0000 -97.0000 Hewlett-Packard Company Hewlett-Packard Company

89.91.207.74 FR France A8 Ile-de-France Vincennes 48.8500 2.4333 Bouygues Telecom Bouygues Telecom

89.91.207.74 FR France A8 Ile-de-France Vincennes 48.8500 2.4333 Bouygues Telecom Bouygues Telecom

121.151.201.170 KR Korea, Republic of 11 Seoul-t'ukpyolsi Seoul 37.5664 126.9997 Korea Telecom yecheonjeonsongsil

129.150.175.45 US United States CA California Santa Clara 95054 37.3961 -121.9617 SUN MICROSYSTEMS SUN MICROSYSTEMS 807 408

89.91.207.74 FR France A8 Ile-de-France Vincennes 48.8500 2.4333 Bouygues Telecom Bouygues Telecom

121.151.201.170 KR Korea, Republic of 11 Seoul-t'ukpyolsi Seoul 37.5664 126.9997 Korea Telecom yecheonjeonsongsil

15.223.226.117 US United States 38.0000 -97.0000 Hewlett-Packard Company Hewlett-Packard Company

89.91.207.74 FR France A8 Ile-de-France Vincennes 48.8500 2.4333 Bouygues Telecom Bouygues Telecom

121.151.201.170 KR Korea, Republic of 11 Seoul-t'ukpyolsi Seoul 37.5664 126.9997 Korea Telecom yecheonjeonsongsil

50.197.240.90 US United States 38.0000 -97.0000 Comcast Cable Comcast Cable

89.91.207.74 FR France A8 Ile-de-France Vincennes 48.8500 2.4333 Bouygues Telecom Bouygues Telecom

121.151.201.170 KR Korea, Republic of 11 Seoul-t'ukpyolsi Seoul 37.5664 126.9997 Korea Telecom yecheonjeonsongsil

50.17.137.136 US United States GA Georgia Roswell 34.0413 -84.3473 Amazon.com Amazon.com 524 770



ms.

[cogswap]

El fichero hosts si que está modificado a posta, eso no hay problema.

Las direcciones de la derecha de destino No son ficticias, las de origen sí. ¿Son malignas entonces? Que hago?



No entiendo con lo de renombrar el fichero VIR, cuando el NOD32 me pegó el aviso del virus que os envié, luego le borré, si paso el Elitrip no me aparece nada. Lo que voy hacer es en un pc también sospechoso es pasar el Elitrip en modo seguro y os cuento.



De todas formas os paso el Sprocces del servidor más sospechoso:



(25-8-2011 06:45:49 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows Server 2003 (v5.2.3790) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: IDEUM1

Usuario: administrador

Sesin de Usuario: administrador



57 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\MSDTC.EXE

C:\WINDOWS\SYSTEM32\SERVERAPPLIANCE\APPMGR.EXE

C:\ARCHIVOS DE PROGRAMA\HP\CISSESRV\CISSESRV.EXE

C:\WINDOWS\SYSTEM32\CPQRCMC.EXE

C:\HP\HPSMH\DATA\CGI-BIN\VCAGENT\VCAGENT.EXE

C:\WINDOWS\SYSTEM32\DNS.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\WINDOWS\SYSTEM32\SERVERAPPLIANCE\ELEMENTMGR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\INETSRV\INETINFO.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\DTS\BINN\MSDTSSRVR.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL.1\MSSQL\BINN\SQLSERVR.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL.2\OLAP\BIN\MSMDSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\TCPSVCS.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLBROWSER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXE

C:\WINDOWS\SYSTEM32\SERVERAPPLIANCE\SRVCSURG.EXE

C:\WINDOWS\SYSTEM32\SYSDOWN.EXE

C:\HP\HPSMH\BIN\SMHSTART.EXE

C:\WINDOWS\SYSTEM32\WINS.EXE

C:\ARCHIVOS DE PROGRAMA\REALVNC\WINVNC\WINVNC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\HP\HPSMH\BIN\HPSMHD.EXE

C:\HP\HPSMH\BIN\ROTATELOGS.EXE

C:\HP\HPSMH\BIN\ROTATELOGS.EXE

C:\HP\HPSMH\BIN\HPSMHD.EXE

C:\HP\HPSMH\BIN\ROTATELOGS.EXE

C:\HP\HPSMH\BIN\ROTATELOGS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVCM.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL.1\MSSQL\BINN\SQLAGENT90.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\HP\NCU\CPQTEAM.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIV~1\SECCOPY\SECCOPY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE

C:\WINDOWS\SYSTEM32\INETSRV\DAVCDATA.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR.DERAZA\ESCRITORIO\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1138\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'jlopez')

R0 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1138\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'jlopez')

R0 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1607\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'sql')

R0 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1607\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'sql')

R0 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-500\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es (User 'Administrador.DERAZA')

R0 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador.DERAZA')

R0 - HKUS\S-1-5-21-57135456-3982227207-630664999-1022\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'sqlserver')

R0 - HKUS\S-1-5-21-57135456-3982227207-630664999-1022\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'sqlserver')

R0 - HKUS\S-1-5-21-57135456-3982227207-630664999-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')

R0 - HKUS\S-1-5-21-57135456-3982227207-630664999-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador')

O1 - Hosts: 128.101.129.103 panel-merca1

O1 - Hosts: 128.101.129.102 panelmerca2

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Aplicacin auxiliar de inicio de sesin de Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKCU\..\Run: [Second Copy 2000] "C:\ARCHIV~1\SecCopy\SecCopy.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1138\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'jlopez')

O4 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1138\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'jlopez')

O4 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-1607\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'sql')

O4 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-500\..\Run: [Second Copy 2000] "C:\ARCHIV~1\SecCopy\SecCopy.exe" (User 'Administrador.DERAZA')

O4 - HKUS\S-1-5-21-3373412830-3461631215-2468617258-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador.DERAZA')

O4 - HKUS\S-1-5-21-57135456-3982227207-630664999-1022\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'sqlserver')

O4 - HKUS\S-1-5-21-57135456-3982227207-630664999-1022\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'sqlserver')

O4 - HKUS\S-1-5-21-57135456-3982227207-630664999-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')

O4 - HKLM\..\Run: [CPQTEAM] C:\Archivos de programa\HP\NCU\cpqteam.exe

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Servicio de red')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 (User 'Administrador.DERAZA')

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {27932703-59C1-4B18-A46D-ED8FC2D35BAA} (NEWIE Control) - http://cacamano.dyndns.org:8000/NEWIE.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248085586529

O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{35F3ADEB-E277-4762-BB2E-734667E9006A}: NameServer = 128.101.211.7

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL (file missing)

O20 - Winlogon Notify: DIMSNTFY - DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de cach de las categoras de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Informacin Adicional:

----------------------

WinSys\Drivers\mrxsmb.sys (de 438784 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 589824 bytes) () Microsoft Corporation

WinSys\Drivers\wdf01000.sys (de 492000 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Archivos de programa\HP\Cissesrv\cissesrv.exe

O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\cpqrcmc.exe

O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

O23 - Service: SQL Server Analysis Services (MSSQLSERVER) (MSSQLServerOLAPService) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe" -s "C:\Archivos de programa\Microsoft SQL Server\MSSQL.2\O (file missing)

O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZinw12.dll

O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZipm12.dll

O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Hewlett-Packard Company - C:\WINDOWS\system32\sysdown.exe

O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe

O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: HP iLO Management Channel Interface Driver (CpqCiDrv) - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\DRIVERS\cpqcidrv.sys

O23 - Service: HP Network Configuration Utility (CPQTeam) - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\DRIVERS\cpqteam.sys

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: esihdrv - Unknown owner - C:\DOCUME~1\ADMINI~1.DER\CONFIG~1\Temp\esihdrv.sys (file missing)

O23 - Service: hpqilo2 - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\DRIVERS\hpqilo2.sys

O23 - Service: Controlador de tnel IP en IP (IpInIp) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipinip.sys (file missing)

O23 - Service: HP NC370 Multifunction Gigabit Server Adapter (l2nd) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bxnd52x.sys

O23 - Service: Bsqueda de texto de SQL Server (MSSQLSERVER) (msftesql) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe" -s:MSSQL.1 - (file missing)

O23 - Service: Controlador de vnculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: HP ProLiant Virtual Install Disk Support Driver (startdss) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\startdss.sys (file missing)



24 Servicios.

12 de Carga Automatica.

11 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Entonces el fichero ya había sido eliminado, con razón el ELITRIIP no lo detectó !



Y las IP no decimos que sean malignas, sino que a cada una corresponde el ISP indicado, y las de paises lejanos, son sospechosas, a no ser que sean voluntarias, claro.



y del log, cabe eliminar esta clave:



O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL (file missing)



para ello, lance eñ SPROCES, pulse en SCAN, seleccione dicha clave y pulse en ELIMINAR.



y tras reiniciar, nos comenta el resultado, gracias



saludos



ms, 25-8-2011

[cogswap]

Yo a Korea, etc en teoría no tengo nada que ver con ellos, asi que seguro que son malas, pero según lo del Net Lan soy yo el que envía las peticiones no?



Acabo de pasar como os dije el Elitrip a modo prueba de fallos...en los pc´s que generan los envíos de 3389 y nada..no ha detectado nada.



Voy a eliminar la entrada que comentas aunque me suena que era de la tarjeta gráfica.

Yo no se si esto es un virus nuevo y como soy gafe me pasa a mi, pero me van a matar, casi ni duermo y encima en el trabajo ya se están cabreando. Estoy hundido. :(

[lucl]

Edito porque se cruzo mi respuesta con la de Msc :roll: . Saludos

[msc hotline sat]

Si te pisé, lo siento lucl ! :oops:



Pero seguro que decíamos lo mismo, en estereo ... :mrgreen:



Y es posible que este port 3389 lo abriera el DSBOT, mira si ahora, sin él, persisten los accesos y nos lo cuentas, gracias



saludos



ms, 25-8-2011

[cogswap]

Sigue persistiendo.



Ésto tiene que ser un gusano nuevo, no es normal. He cambiado hasta el antivirus y he pasado el MalwareBytes (Antimalware) y nada, no detectan nada.



He avanzado algo, haciendo unnetstat -p tcp -n -b me dice el programa que abre el puerto. Es el ekrn.exe! el ejecutable del antivirus.



Los he desinstalado y he instalado la versión del nod32 V4 y sigo igual, otra vez pone el proceso ekrn.exe qeu manda peticiones a la 3389.

[msc hotline sat]

Como bien dice, el ekrn.exe es normalmente un fichero del NOD32, pero pudiera ser cualquier otra cosa, claro...



Si quiere, envienoslo para analizar, y si no, desinstale el NOD32, y pruebe cualquier otro AV y asi sabrá si está relacionado con su problema.



Si quiere probar con añadir .VIR a dicho fichero, aunque el AV no funcionará correctamente, verá si deja de conectarse , lo cual será muy significativo !



Cuentenos sus progresos al respecto, gracias



saludos



ms, 25-8-2011

[cogswap]

Voy a probar a desinstalarlo, e instalar otro antivirus pero lo raro es que llevaba años funcionando bien, pero por si acaso más vale prevenir.

Ahora os comento si mejora la cosa.



Otra cosa que he visto, las direcciones que os comentaba a las que mis pc´s infectados intentan acceder, están por todo el mundo: China, Alemania, Rusia. Encima todas comunican con escritorio remoto... otra cosa ya es saberse usuario y password, pero es como si fuese una red de unas 200 direcciones distintas en las que estamos metidos por un gusano o algo por el estilo que tenga dentro



Mucha gracias por toda la ayuda que me estáis dando.

[cogswap]

Nada desinstalando el nod32 nada.

[lucl]

Bueno vamos a ver una cosa, no se si ya te lo he recomendado pero porque no pruebas a poner un firewall? A ver si al menos puedes parar esa locura de trafico. Aqui tienes varios





http://www.zonavirus.com/descargas/firewalls.asp





Prueba esto, a mi me gusta el Zonealarm . Pongas el que pongas te bloqueara el acceso remoto espero y una vez parado esto a ver si podemos ir buscando mejorias en alguno de tus pcs aunque el infectado sea el que menos esperes. Busca uno adecuado para ti y a ver que pasa. Saludos.

[msc hotline sat]

Mira con un Inicio -> Buscar (incluidos ficheros ocultos y de sistema) que una vez desinstalado el NOD32 no haya ningun ekrn.exe en todo el disco duro, es el kit de la cuestion !



Si lo encuentras. añade .VIR a su extension y nos lo envias para analizar



saludos



ms, 25-8-2011

[cogswap]

Buenas, os comento como sigue el tema.



El NOd32 no tiene la culpa, porque he buscado el fichero ekrn.exe incluso con ficheros desocultados y nada, de hecho ahora cuando se conecta al puerto de siempre (3389) ahora pone que lo hace con el proceso svchost.



Lo que he hecho ha sido instalar el Comodo Firewall y capar las salientes hacia ese puerto en los pc´s sospechosos. Ahora ya por lo menos no salen a internet, la cosa en cuanto a velocidad ha mejorado, no me fio pero bueno.. porque el gusano o lo que sea podía buscar otros puertos salientes...



Los pc´s sospechosos siguen ralentizados, ahora me voy de vacaciones y he dejado todo encargado a un informático de otra empresa programadora. No me quedo tranquilo, pero ya tebía reservado el hotel :P



Ya os contaré cuando vuelva lo que hago, de momento voy a contratar servicio Firewall de NetLan, y formatearé 2 pc´s sospechosos, y los otros 2 servidores sospechosos...pues...como que no hay valor a formatearlos :P

Gracias a todos por vuestra ayuda, ya os seguiré informando dentro de 2 semanillas.

[msc hotline sat]

El SVCHOST.EXE es el lanzador de tareas de windows, y es normal que sea quien lance el ekrn.exe, sea bueno o malo...



Pero si no tienes ya ningun fichero con dicho nombre, ya no deberia incordiar.



En cualquier caso, felices vacaciones y cuando vuelvas, si quieres, nos comentas como ha acabado el caso :)



saludos



ms, 26/8/2011

[cogswap]

Os escribo dsde el movil.

Para q veais el gafe q tengo es un nuevo virus! Se llama morto!

Ha salido en las noticias! Ya sabeis si os pasa!

[cogswap]

Os pongo el link!!:



http://www.eweekeurope.es/noticias/un-nuevo-gusano-infecta-windows-a-traves-del-protocolo-de-escritorio-remoto-14473





Por lo menos ya se lo que tengo dentro jeje.



Más información detallada de lo que hace:

https://cert.inteco.es/virusDetail/Actualidad/Actualidad_Virus/Detalle_Virus/Morto