virus extraño en la red (TERMINADO)

[germanboehler]

Buenas, el tema de hoy es uno del que vengo renegando hacer un tiempo. sin mas preambulos.

[i][b]E[/b][/i]l tema es este. cuando inicio la pc sin nisiquiera tocar nada. voy a donde se ve la actividad de la red (wireles) y empieza a subir la cantidad de paquetes enviados tanto como los recibidos (los 2 a la par por ejemplo si el enviado: 50.000 paquetes y recibidos 51.000) todo esto sin que yo [b][i]haya[/i][/b] usado la pc.

[i][b]A[/b][/i]claro esto ultimo hoy la prendi y me fui a desayunar. cuando volvi estaba los paquetes como recien mencionaba.

esto me resulta extraño dado que a la netbook no le sucede esto. no tengo ningun navegador abierto.



datos extras:



antivirus: avast free



gabinete compuesto por:

1 GB Ram

200 GB disco rigido

microprocedor: 1.8 (3000)

placa de video: gefocrce 6200

adaptador wireles.



otros datos:

*- ya examine 2 veces la pc con 2 anti virus distintos (avg, avast)

*- ya examine la pc con 2 programas potentes.

1) elistara: programa que me encontre 10 ficheros infectados

2) combofix: cuyo programa no encontro nada.



si necesita los reportes de los mismo. no tengo problema en enviarselos por MP (o algun medio similar, disculpen que no conosco el foro profundamente)





[b][i]He[/i][/b] probado mil cosas. desinstalar el driver del wireles. desactivar/activar la red. cambiar de red. y no logro solucionar el problema. el mismo sigue aumentado. un dato importante a tener en cuenta. es que mi velocidad de descarga sigue siendo optima. pero me influye mas cuando intento jugar un juego online dado que cuando se sobre exige la red wireles se le baja la señal. o mejor dicho los kb/s





y sin mas nada que decir o aclara[b][i]r[/i][/b] y esperando una pronta respuesta. les agrade[b][i]z[/i][/b]co por leer mi tema. y por intentar dar una ayuda. desde ya un cordiar saludo.

[msc hotline sat]

Efectivamente, si el ELISTARA le encontró 10 troyanos, veamos cuales fueron, para lo cual, como siempre indicamos, postee el contenido del fichero c:\infosat.txt, con un COPIAR Y PEGAR de su contenido , en su próximo post de respuesta a este Tema.



Tras analizar dicho informe, veremos si cabe considerar algo mas al respecto.



saludos



ms, 30-12-2012

[germanboehler]

(29-12-2012 20:12:55 (GMT))

EliStartPage v26.80 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 28 de Diciembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-1644491937-484061587-1801674531-1003



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\USER.EXE.Muestra EliStartPage v26.80

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\USER.EXE --> Eliminado

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(29-12-2012 20:13:02 (GMT))

EliStartPage v26.80 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 28 de Diciembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-1644491937-484061587-1801674531-1015



Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(29-12-2012 20:13:08 (GMT))

EliStartPage v26.80 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 28 de Diciembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Administrador

ID de Usuario: S-1-5-21-1644491937-484061587-1801674531-500



Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(29-12-2012 20:24:06 (GMT))

EliStartPage v26.80 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 28 de Diciembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Administrador

ID de Usuario: S-1-5-21-1644491937-484061587-1801674531-500



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Riot Games\GHostOne\GHostOne\GHOST ONE + BNLS STARTER.EXE --> Eliminado, Autoit

C:\Riot Games\GHostOne\GHostOne\BotStatus\BOTSTATUS.EXE --> Eliminado, Autoit

C:\Riot Games\GHostOne\GHostOne\WardenBNLS\SETUPBNLS.EXE --> Eliminado, Autoit

C:\Riot Games\GHostOne\GHostOne\WardenBNLS\SWAP CDKEYS.EXE --> Eliminado, Autoit

C:\Riot Games\GHostOne\GHostOne\WardenBNLS\UPDATE BNLS INIS.EXE --> Eliminado, Autoit

C:\System Volume Information\_restore{BAE597BD-F0C7-49B9-B195-6AE138852C42}\RP2\A0001592.EXE --> Eliminado, Autoit

C:\System Volume Information\_restore{BAE597BD-F0C7-49B9-B195-6AE138852C42}\RP2\A0001593.EXE --> Eliminado, Autoit

C:\System Volume Information\_restore{BAE597BD-F0C7-49B9-B195-6AE138852C42}\RP2\A0001594.EXE --> Eliminado, Autoit

C:\System Volume Information\_restore{BAE597BD-F0C7-49B9-B195-6AE138852C42}\RP2\A0001595.EXE --> Eliminado, Autoit

C:\System Volume Information\_restore{BAE597BD-F0C7-49B9-B195-6AE138852C42}\RP2\A0001596.EXE --> Eliminado, Autoit



Nº Total de Directorios: 21585

Nº Total de Ficheros: 104117

Nº de Ficheros Analizados: 33023

Nº de Ficheros Infectados: 10

Nº de Ficheros Limpiados: 10



(29-12-2012 20:25:58 (GMT))

EliStartPage v26.80 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 28 de Diciembre del 2012)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP

Usuario: Administrador

ID de Usuario: S-1-5-21-1644491937-484061587-1801674531-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 736

Nº Total de Ficheros: 11746

Nº de Ficheros Analizados: 1518

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues aparte del AUTOIT que se eliminó, se le indica enviar muestra de este otro aun no controlado:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\USER.EXE.Muestra EliStartPage v26.80

a "virus@satinfo.es". Gracias.





Para ello, recordar:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



Tras recibirlo, lo analizaremos y pasaremos a controlar, de lo cual informaremos.



saludos



ms, 31-12-2012





PD: Por cierto, de las 10 detecciones de AUTOIT, cabe señalar que solo 5 estaban activas, el resto estaban en el RESTORE, pero aun asi, ya se han eliminado todas. ms.

[germanboehler]

Ya enviado el mail correctamente. espero sus respuesta y/o solucion a mi problema especifico. o algun tipo de consejo. desde ya muchas gracias

[msc hotline sat]

Pues mañana, cuando regresemos al trabajo, se analizará el fichero sospechoso y se informará del resultado del análisis.



Hasta entonces, feliz Año Nuevo ! [img]http://www.gifmania.com/navidad/campanas/art-0287.gif[/img]



saludos



ms, 1-1-2013

[msc hotline sat]

Analisis fichero USER.EXE enviado por german boehler



Archivo movido a c:\muestras por clave de carga típica de virus, siendo en este caso un falso positivo, ya que por su MD5 es el autentico de Microsoft (143d6637e305e8c7dd4b78de4a4a6f38), por lo que puede restaurarse a su sitio original (carpeta de sistema, C:\windows\system32)



SHA256: 73236abd0bd5d24a56c5bb608dd7416d8bb259f2c06b7868bf3670cb2ebf6c36

SHA1: 85b5790be33428036b9e9a9be001e7e2053fe1b2

MD5: 143d6637e305e8c7dd4b78de4a4a6f38

Tamaño: 46.8 KB ( 47872 bytes )

Nombre: user.exe

Tipo: Win16 EXE

Etiquetas: neexe nsrl

Detecciones: 0 / 45



publisher................: Microsoft Corporation

product..................: Sistema operativo Microsoft_ Windows(TM)

internal name............: USER

copyright................: Copyright (c) Microsoft Corp. 1981-1996

original name............: USER.EXE

file version.............: 3.10

description..............: Componente principal de la interfaz de usuario de Windows



_______



Visto dicho informe y dado el problema que le aqueja, entendemos que puede tratarse de algun malware desconocido o de un Rootkit que se oculta a simple vista.



Por si fuera lo primero, lanzar el SPROCES y pulsar en SALIR, tras lo cual generará informe en c:\sproclog.txt, que nos puede postear para analizar:


[quote="para DESCARGAR el SPROCES, msc"]



http://www.zonavirus.com/descargas/sproces.asp


[/quote]

Si no se viera nada en ello, le pediriamos que nos posteara el informe del GMER, para detectar RootKits, pero tiempo al tiempo...



saludos



ms, 2-1-2013

[germanboehler]

buenas. primero pido disculpa por las demoras. y aprovecho para agradecer el trabajo tomado. segundo y aprovechando tambien para saludar. para que tengan un buen 2013.

ahora si. a lo que se vino. les traigo el informe pedido del sproces 6.8 y aclaro que lo ejecute en modo seguro de windows. y lo unico que hice fue lo indicado. "ejecutar el programa" y dar a "salir" para que se genere el informe que se ve en la parte inferior.

si ahi algun tipo de problema por averlo ejecutado en modo seguro. avisenme que no tengo ningun problema en ejecutarlo en modo normal.







(3-1-2013 15:32:15 GMT)

SProces v6.8 (c)2012 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: USER

Usuario: Administrador

Sesión de Usuario: Administrador



12 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\USERINIT.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\EXPLORER.EXE

F:\MATAR EL TIEMPO\PROGRAMAS\SPORCE 6.8\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-1644491937-484061587-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'UpdatusUser')

R0 - HKUS\S-1-5-21-1644491937-484061587-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'UpdatusUser')

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Matar El Tiempo\Programas\Java\bin\ssv.dll

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Matar El Tiempo\Programas\Java\bin\jp2ssv.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "F:\Matar El Tiempo\Programas\daemon\DAEMON Tools Pro\DTAgent.exe" -autorun

O4 - HKCU\..\Run: [Facebook Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver

O4 - HKCU\..\Run: [Pando Media Booster] C:\Archivos de programa\Pando Networks\Media Booster\PMB.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-21-1644491937-484061587-1801674531-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')

O4 - HKUS\S-1-5-21-1644491937-484061587-1801674531-1003\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'UpdatusUser')

O4 - HKUS\S-1-5-21-1644491937-484061587-1801674531-1003\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'UpdatusUser')

O4 - HKUS\S-1-5-21-1644491937-484061587-1801674531-1003\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'UpdatusUser')

O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login

O4 - HKLM\..\Run: [nwiz] C:\Archivos de programa\NVIDIA Corporation\nview\nwiz.exe /installquiet

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Archivos de programa\Ralink\Common\RaUI.exe -s

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %Systemroot%\system32\webcheck.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\shell32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - %systemroot%\system32\stobject.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL



Información Adicional:

----------------------

WinSys\Drivers\aswSnx.sys (de 738504 bytes) () AVAST Software

WinSys\Drivers\cmuda.sys (de 821760 bytes) () C-Media Inc

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\rt2870.sys (de 709248 bytes) () Ralink Technology, Corp.



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.7.5.0 (AegisP) - Cisco Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - F:\Matar El Tiempo\Programas\Java\bin\jqs.exe" -service -config "F:\Matar El Tiempo\Programas\Java\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Búsqueda de texto de SQL Server (MSSQLSERVER) (msftesql) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe" -s:MSSQL.1 - (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe

O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Archivos de programa\Ralink\Common\RalinkRegistryWriter.exe

O23 - Service: wscsvc - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\system32\wscsvc.dll (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: catchme - Unknown owner - C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\catchme.sys (file missing)

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Archivos de programa\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Ralink RAPI Protocol Driver (RAPIProtocol) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\RAPIProtocol.sys

O23 - Service: Ralink 802.11n USB Wireless LAN Card Driver (rt2870) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\rt2870.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



20 Servicios.

8 de Carga Automatica.

11 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Del analisis del informe del SPROCES, cabe señalar:



Parche MS08-067 (Servicio Servidor) NO Instalado.



Faltan parches, se debe lanzar un windowsupdate, (www.update.microsoft.com)



Y hay esta clave anomala, eliminarla:



O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)



Para ello, lanzar el SPROCES, pulsar en SCAN, marcar dicha clave y pulsar ELIMINAR





Tras ello reiniciar y ver si se ha solucionado el problema y comentarnoslo, gracias



saludos



ms, 3-1-2013

[germanboehler]

*- Parche instalado

*- scan y eliminacion con sproc realizado



el problema continua.



escucho recomendaciones.

muchas gracias.

[msc hotline sat]

Pues por si se tratara de un rootkit no visible normalmente, vamos a atacarle por otro lado, .lanzando el GMER , tras lo cual, salva el informe y nos lo posteas en tu proximo post de respuesta a este Tema



A ver si logramos desemascarar el dichoso bicho, si es que lo es, y pasamos a controlarlo segun lo que veamos y te pidamos para analizar.



El GMER lo puedes descargar de:





GMER:



[url]www2.gmer.net[/url]



saludos, 5-1-2013

[germanboehler]

[u]He[/u] vuelto... pero sin el reporte [u]lam[/u]entablemente.

el problema es el siguzente. ejecuto el programa "gmer"

y como esta en la opcion quick scan. doy click al boton "scan"



resultado: *- inmediatamente me salta pantalla azul (windows ejecutado en modo seguro)



reinicio vuelvo a ejecutar windows en modo seguro

pruebo checkeando unicamente la unidad c:\



resultado: *- luego de algunos archivos escaneados. salta pantalla azul



aclaro la pantalla azul no trae un mesaje de algun error en especifico como suele hacer diciendo que tal area fue la que resulto erronia.

tan solo me dice el mensaje del "si esta es la primera ve[u]z[/u]..."

ustedes me diran. no se si sera algo referido al programa o "el bicho" estara interfiriendo con el scan...



muchas gracias espero su respuesta

[msc hotline sat]

Pues debería funcionar y ofrecer informe, pero por si hubiera algo residente que lo impidiera, proceder arrancado en MODO SEGURO



Espero que asi funcione y veamos si indica la existencia de algun rootkit ...



saludos



ms, 6-1-2013

[germanboehler]

que informe arriba. todo los probrama y los informes ya dados. los [u]he[/u] ejecutado en windows modo seguro.



y creo que si pruebo el programa en windows normal. va a dar el mismo resultado de pantalla azul.

[msc hotline sat]

Parece que su informe inicia cortado...



Si hay algo antes que crea puede interesar, posteelo de nuevo, sino, pruebe lanzar una REPARACION DE SISTEMA, para que pueda lanzar las utilidades indicadas sin que de la dichosa pantalla azul.



Para ello arranque con su CD de instalacion, entre como si fuera a instalar windows, y cuando le detecte la particion instalada y le ofrezca REPARAR o reinstalar, escoja REPARAR



Tras ello, reinicie y pruebe lanzar las utilidades indicadas, y nos reporta el resultado.



saludos



ms, 6-1-2013

[germanboehler]

Bueno.. primero pido disculpas por la tardia. me fui de vacaciones y por ende me olvide que tenia PC.

segundo con el tema planteado. visto que luego de descargar varios programas. por ejemplo MyPony (gestor de descarga) y el mismo avast detectarme un virus... y otro programas mas como juegos inclusive. supuse que era un virus mas complicado. y dado que no tenia demasiada informacion importante en el ordenador. lo corte por lo sano. y formatie.

volvi al foro para que le den por cerrado al tema. y si alguien le pasa algo similar. recomiendo seguir los pasos dados. pero si no funciona. es complicado.

agradesco la ayuda. y seguramente nos veremos prontos.

[msc hotline sat]

Pues gracias por acordarse de nosotros e indicar que podiamos dar por terminado el Tema.



No se olvide de instalar los parches con un windowsupdate tras instalar el nuevo sistema operativo, y un buen antivirus residente y actualizado, claro.



Y dando por terminado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 12-2-2013