No puedo borrar un virus.

[daou]

Hola :)

nuevamente preciso de la ayuda de uds. que tan amables han sido siempre y me han solucionado el problema.

Resulta que el otro día arrance el Malwarebytes y me encontró un virus, este:



Archivos Infectados:

c:\WINDOWS\system32\fsquirt.exe (Trojan.Dropper.BCM) -> No action taken.



luego doy click en Eliminar seleccionados, me reinicia el pc y no se borra, ya que vuelvo a hacer el análisis y aparece.



nose que hacer :(, estuve revisando lo que me enseñaron las otras veces y arranque el Elistara en modo seguro y despues el Sproclog, pero nose si pegarlo antes de que me digan.





ojalá me peudan ayudar



muchas gracias

[msc hotline sat]

Si, copy y pega los informes resultantes como respuesta de este Tema, pero además, envianos el fichero en cuestion para analizar:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 14-12-2011

[daou]

Muchas gracias, entonces pego los resultados de Elistara y sproclog a continuación, ya envie el archivo a envio de muestras y le coloque de contraseña "virus".





gracias :)





(14-12-2011 16:57:32 GMT)

SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Equipo: WINXPRPO

Usuario: Gabriel

Sesión de Usuario: Gabriel



52 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 8.0\ACROBAT\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK DVD SOLUTION\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA CLOUD ANTIVIRUS\PSUNMAIN.EXE

C:\WINDOWS\VM305_STI.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\IDT\WDM\STTRAY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\SKYPE\PHONE\SKYPE.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\MAGICTUNE PREMIUM\GAMMATRAY.EXE

C:\ARCHIVOS DE PROGRAMA\SEC\NATURAL COLOR PRO\NCPROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\SONY\SONY PICTURE UTILITY\VOLUMEWATCHER\SPUVOLUMEWATCHER.EXE

C:\ARCHIVOS DE PROGRAMA\OPENOFFICE.ORG 3\PROGRAM\SOFFICE.EXE

C:\ARCHIVOS DE PROGRAMA\OPENOFFICE.ORG 3\PROGRAM\SOFFICE.BIN

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\MAGICTUNE PREMIUM\MAGICTUNEENGINE.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA CLOUD ANTIVIRUS\PSANHOST.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\IDT\11222011115431\STACSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ULEAD SYSTEMS\DVD\ULCDRSVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MACROVISION SHARED\FLEXNET PUBLISHER\FNPLICENSINGSERVICE.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\GABRIEL\ESCRITORIO\ESCRITORIO\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

F2 - REG:system.ini: Taskman=

O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Archivos de programa\Ipswitch\WS_FTP Pro\wsbho2k0.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [AdobeUpdater] "C:\Archivos de programa\Archivos comunes\Adobe\Updater5\AdobeUpdater.exe"

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [PSUNMain] "C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Servicio de red')

O4 - Startup: Herramienta de búsqueda de soportes de Picture Motion Browser.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe /nobaloononstart

O4 - Startup: OpenOffice.org 3.2.lnk = C:\Archivos de programa\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: GammaTray.lnk = C:\Archivos de programa\MagicTune Premium\GammaTray.exe

O4 - Global Startup: NCProTray.lnk = C:\Archivos de programa\SEC\Natural Color Pro\NCProTray.exe

O4 - Global Startup: Register Genuine Fractals PrintPro 5.0.lnk = C:\Archivos de programa\onOne Software\Genuine Fractals\Register Genuine Fractals PrintPro 5.0.exe

O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_29) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} (Java Plug-in 1.6.0_29) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_29) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AD96E83D-0DAC-4A87-96E7-24A7916760A0}: NameServer = 200.28.4.130 200.28.4.129

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\nvnrm.sys (de 888064 bytes) (+r) NVIDIA Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\vvftav.sys (de 474368 bytes) () Vimicro Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Aspi32 - Adaptec - C:\WINDOWS\SYSTEM32\drivers\aspi32.sys

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: MagicTuneEngine - Unknown owner - C:\Archivos de programa\MagicTune Premium\MagicTuneEngine.exe

O23 - Service: Panda Cloud Antivirus Service (NanoServiceMain) - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PSINAflt - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINAflt.sys

O23 - Service: PSINFile - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINFile.sys

O23 - Service: PSINProc - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINProc.sys

O23 - Service: PSINProt - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINProt.sys

O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Archivos de programa\IDT\11222011115431\STacSV.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: AnyDVD - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\AnyDVD.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MagicTune - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\MTiCtwl.sys

O23 - Service: MBAMSwissArmy - Unknown owner - C:\WINDOWS\system32\drivers\mbamswissarmy.sys (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Sony Ericsson Device 1018 driver (WDM) (s1018bus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018bus.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC Modem Filter (s1018mdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018mdfl.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC Modem Driver (s1018mdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018mdm.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM) (s1018mgmt) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018mgmt.sys

O23 - Service: Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS) (s1018nd5) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018nd5.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC OBEX Interface (s1018obex) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018obex.sys

O23 - Service: Sony Ericsson Device 1018 USB Ethernet Emulation (WDM) (s1018unic) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018unic.sys

O23 - Service: Screaming Bee Audio (SCREAMINGBDRIVER) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\ScreamingBAudio.sys (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: IDT High Definition Audio CODEC (STHDA) - IDT, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: vvftav - Vimicro Corporation - C:\WINDOWS\SYSTEM32\drivers\vvftav.sys

O23 - Service: USB PC Camera VC305 (ZSMC0305) - Vimicro Corporation - C:\WINDOWS\SYSTEM32\Drivers\usbVM305.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



43 Servicios.

14 de Carga Automatica.

28 de Carga Manual.

1 Deshabilitados.







elistara



(29-6-2011 02:13:21 (GMT))

EliStartPage v23.51 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Junio del 2011)

--------------------------------------------------

Usuario: Gabriel

ID de Usuario: S-1-5-21-2025429265-1229272821-839522115-1003



Lista de Acciones (por Acción Directa):



(29-6-2011 02:48:45 (GMT))

EliStartPage v23.51 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Junio del 2011)

--------------------------------------------------

Usuario: Gabriel

ID de Usuario: S-1-5-21-2025429265-1229272821-839522115-1003



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 21151

Nº Total de Ficheros: 257477

Nº de Ficheros Analizados: 62459

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(29-6-2011 03:34:28 (GMT))

EliMover v1.3 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "C:\windows\System32\syssetup.dll" -> Copiado a "C:\Muestras"



(29-6-2011 03:35:08 (GMT))

EliMover v1.3 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "C:\windows\System32\syssetup.dll" -> Copiado a "C:\Muestras"



(29-6-2011 03:35:10 (GMT))

EliMover v1.3 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "C:\windows\System32\syssetup.dll" -> Copiado a "C:\Muestras"



(29-6-2011 03:36:03 (GMT))

EliMover v1.3 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "C:\windows\System32\syssetup.dll" -> Copiado a "C:\Muestras"



(29-6-2011 03:36:04 (GMT))

EliMover v1.3 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "C:\windows\System32\syssetup.dll" -> Copiado a "C:\Muestras"



(29-6-2011 03:36:11 (GMT))

EliMover v1.3 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "C:\windows\System32\syssetup.dll" -> Copiado a "C:\Muestras"

Fichero: "C:\windows\System32\syssetup.dll" -> Renombrado a .VIR



(29-6-2011 03:36:20 (GMT))

EliMover v1.3 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "C:\windows\System32\syssetup.dll" -> Copiado a "C:\Muestras"

Fichero: "C:\windows\System32\syssetup.dll" -> NO pudo ser Renombrado a .VIR



(14-12-2011 04:15:44 (GMT))

EliStartPage v24.44 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Diciembre del 2011)

--------------------------------------------------

Usuario: Gabriel

ID de Usuario: S-1-5-21-2025429265-1229272821-839522115-1003



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-12-2011 04:51:41 (GMT))

EliStartPage v24.44 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Diciembre del 2011)

--------------------------------------------------

Usuario: Gabriel

ID de Usuario: S-1-5-21-2025429265-1229272821-839522115-1003



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 21757

Nº Total de Ficheros: 287013

Nº de Ficheros Analizados: 63516

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-12-2011 18:05:51 (GMT))

EliMover v1.4 (c)2011 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "c:\WINDOWS\system32\fsquirt.exe" -> Copiado a "C:\Muestras"

Fichero: "c:\WINDOWS\system32\fsquirt.exe" -> Renombrado a .VIR



(14-12-2011 18:07:33 (GMT))

EliMover v1.4 (c)2011 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "c:\WINDOWS\system32\fsquirt.exe" -> Copiado a "C:\Muestras"

Fichero: "c:\WINDOWS\system32\fsquirt.exe" -> NO pudo ser Renombrado a .VIR

[msc hotline sat]

Pues mañana , cuando entremos a trabajar en SATINFO, analizaremos el fichero que nos ha enviado e informaremos del resultado.





Mientras, vemos una anomalía sospechosa en estas claves del log:





O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio Local')



O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')







primero indica lanzar el fichero syssetub.dll y luego el mismo nombre cambiando una letra: syssetup.dll ... ???



Envienos los dos para analizar, ya que resulta muy sospechoso.



Recuerde que la ruta es C:\windows\system32\syssetub.dll



y C:\windows\system32\syssetup.dll





tras recibirlos, los analizaremos e informaremos.



saludos



ms, 14-12-2011





NOTA: vemos que luego ha movido alguno a C:\muestras, envienos todo su contenido. ms.

[daou]

Hola,



disuclpa mi ignorancia, pero busqué C:\windows\system32\syssetub.dll en el Buscar de windows y no lo encontré, luego busqué c:\windows\system32\syssetup.dll y ese si lo encontré y lo copie al escritorio y luego lo compirmi en .rar para enviarlo a muestras.



eso que dice que movi a c:/muestras es porque busque el virus con elimover, nose si esta bien hacerlo asi.



ahora envio a muestras el que pude encontrar



saludos

[msc hotline sat]

SÏ, incluso el SYSSETUB.EXE que no ha encontrado, podría mirar si con el ELIMOVER lo encuentra, y en tal caso envairnoslo tambien



En cuanto recibamos (hay cola de distribución de mails entrantes) el que nos ha enviado, lo analizaremos e informaremos



saludos



ms, 15-12-2011

[msc hotline sat]

Analizados los ficheros recibidos, no se detectan en ellos rutinas viricas.



Si encuentra con el ELIMOVER el otro que deciamos, nos lo envia y lo analizaremos e informaremos



saludos



ms, 15-12-2011