Problemas con Internet y Audio

[geoda]

Mi conexion de internet es lenta tengo problemas al navegar con firefox con facebook tarda un monton en entrar

luego el audio desaparece este es una analisis

(3-4-2013 00:34:57 (GMT))

EliStartPage v27.38 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 2 de Abril del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Doble Vx Speed V2

ID de Usuario: S-1-5-21-776561741-1708537768-1177238915-500

Cadenas Víricas: 19315



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\JAVA.EXE.Muestra EliStartPage v27.38

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\DOBLEV~1\CONFIG~1\TEMP\JAVA.EXE --> Eliminado

Entrada Eliminada [HKUS\S-1-5-21-776561741-1708537768-1177238915-500\...\Run] "JAVA"=""C:\DOCUME~1\DOBLEV~1\CONFIG~1\Temp\Java.exe""

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-4-2013 00:39:33 (GMT))

EliStartPage v27.38 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 2 de Abril del 2013)

--------------------------------------------------

Sistema Operativo: Microsoft Windows XP (5.1.2600) SERVICE PACK 3

Usuario: Doble Vx Speed V2

ID de Usuario: S-1-5-21-776561741-1708537768-1177238915-500

Cadenas Víricas: 19315



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\AUTODISC.DLL --> Eliminado, FakeMS.AutoDisc



Nº Total de Directorios: 7322

Nº Total de Ficheros: 56471

Nº de Ficheros Analizados: 19531

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(3-4-2013 00:44:37 GMT)

SProces v7.1 (c)2013 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Parche MS10-046 (Exploit.CPLlink) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: PC-SPEED-V2

Usuario: Micromix

Sesión de Usuario: Doble Vx Speed V2



39 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\ARCHIVOS DE PROGRAMA\ZENTIMO\ZENTIMOSERVICE.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD12\KERNEL\DMR\POWERDVD12DMRENGINE.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD12\POWERDVD12AGENT.EXE

C:\ARCHIVOS DE PROGRAMA\USB-AV ANTIVIRUS\USB-AV.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\ZENTIMO\ZENTIMO.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD12\KERNEL\DMP\CLHNSERVER\CLHNSERVICEFORPOWERDVD12.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD12\KERNEL\DMS\CLMSMONITORSERVICEPDVD12.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD12\KERNEL\DMS\CLMSSERVERPDVD12.EXE

C:\ARCHIVOS DE PROGRAMA\FIREBIRD\FIREBIRD_2_5\BIN\FBGUARD.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE7\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\POWER TRANSLATOR 15\LOGOMEDIA TRANSLATEDOTNET SERVER.EXE

C:\WINDOWS\INSTALLER\MSI11F.TMP

C:\ARCHIVOS DE PROGRAMA\SOLIDDOCUMENTS\SOLIDPDFCREATOR\SPC\SOLIDPDFSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IEMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\FIREBIRD\FIREBIRD_2_5\BIN\FBSERVER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

D:\JUEGOS\MARIO BROS 2010\SUPER NINTENDO\SNESGT.EXE

C:\ARCHIVOS DE PROGRAMA\WINRAR\WINRAR.EXE

C:\DOCUME~1\DOBLEV~1\CONFIG~1\TEMP\RAR$EXB0.723\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre7\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre7\bin\jp2ssv.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator 15\Applications\LEC IE Translation Extension.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount

O4 - HKCU\..\Run: [FlashGet] "C:\Archivos de programa\FlashGet Network\FlashGet universal\FlashGet.exe" /min

O4 - HKCU\..\Run: [IDMan] C:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [Zentimo xStorage Manager] C:\Archivos de programa\Zentimo\Zentimo.exe /startup

O4 - HKLM\..\Run: [Vistadrv] C:\Archivos de programa\SiCoDriVeT\vsdrv.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Bonus.SSR.FR11] "C:\Archivos de programa\ABBYY FineReader 11\Bonus.ScreenshotReader.exe" /autorun

O4 - HKLM\..\Run: [PowerDVD12DMREngine] "C:\Archivos de programa\CyberLink\PowerDVD12\Kernel\DMR\PowerDVD12DMREngine.exe"

O4 - HKLM\..\Run: [PowerDVD12Agent] "C:\Archivos de programa\CyberLink\PowerDVD12\PowerDVD12Agent.exe"

O4 - HKLM\..\Run: [USB-AV-Antivirus] C:\Archivos de programa\USB-AV Antivirus\usb-av.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: Descargar con IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Descargar con IDM todos los enlaces - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: UseFlashGet - C:\Archivos de programa\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm

O8 - Extra context menu item: UseFlashGetDownloadAllLink - C:\Archivos de programa\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: RAILNOTIFICATION - WINLOGONNOTIFICATION.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 457856 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 576512 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 466008 bytes) () Duplex Secure Ltd.

WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Alcohol Virtual Drive Auto-mount Service (AxAutoMntSrv) - Alcohol Soft Development Team - C:\Archivos de programa\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe

O23 - Service: CLHNServiceForPowerDVD12 - CyberLink Corp. - C:\Archivos de programa\CyberLink\PowerDVD12\Kernel\DMP\CLHNServer\CLHNServiceForPowerDVD12.exe

O23 - Service: CyberLink PowerDVD 12 Media Server Monitor Service - CyberLink - C:\Archivos de programa\CyberLink\PowerDVD12\Kernel\DMS\CLMSMonitorServicePDVD12.exe

O23 - Service: CyberLink PowerDVD 12 Media Server Service - CyberLink - C:\Archivos de programa\CyberLink\PowerDVD12\Kernel\DMS\CLMSServerPDVD12.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Firebird Project - C:\Archivos de programa\Firebird\Firebird_2_5\bin\fbguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre7\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre7\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator 15\LogoMedia TranslateDotNet Server.exe

O23 - Service: ntk_PowerDVD12 - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD12\Kernel\DMP\CLHNServer\ntk_PowerDVD12.sys

O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSI11F.tmp

O23 - Service: SolidPDFCreatorReadSpool (SPDFCreatorReadSpool) - Solid Documents, LLC - C:\Archivos de programa\SolidDocuments\SolidPDFCreator\SPC\SolidPdfService.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Zentimo Assistant (ZentimoService) - Crystal Rich Ltd - C:\Archivos de programa\Zentimo\ZentimoService.exe

O23 - Service: Power Control [2013/04/01 13:44:40] ({73526619-C24F-470B-9BED-53D455FBB5C6}) - CyberLink Corp. - C:\Archivos de programa\CyberLink\PowerDVD12\Common\NavFilter\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - C:\Archivos de programa\Firebird\Firebird_2_5\bin\fbserver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Archivos de programa\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI NIC Family NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: senfilt - Sensaura - C:\WINDOWS\SYSTEM32\drivers\senfilt.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



27 Servicios.

14 de Carga Automatica.

12 de Carga Manual.

1 Deshabilitados.



Muestra de virus enviada



En breve recibirá noticias a traves del correo electronico proporcionado.



Ver foro - Foro Virus - Cuentanos tu problema

Fichero: JAVA.EXE.Muestra EliStartPage v27.rar | Tamaño: 306,19 Kb

MD5: 0EF8C808CE6DDBD52FE1806E8478E3B5

[msc hotline sat]

Pues el ELISTARA, aparte de detectar y eliminar este:



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\AUTODISC.DLL --> Eliminado, FakeMS.AutoDisc





pide esta muestra, que conviene nos envie para analizar:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\JAVA.EXE.Muestra EliStartPage v27.38





para ello, recordar:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334





Tras recibirla, la analizaremos e informaremos del resultado.







Y en el log del SPROCES no aparecen elementos sospechosos.



saludos



ms, 3-4-2013

[msc hotline sat]

Vemos que has enviado el fichero JAVA.EXE que te solicitabamos.



Su analisis ha resultado ser de malware PWS BANKER CHISBURG , segun puedes ver en la noticia que hemos editado al respecto:





http://www.zonavirus.com/noticias/2013/nueva-variante-de-pws-banker-chisburg-cazado-por-la-heuristica-del-elistara.asp



Como se indica, implementaremos su control y eliminacion en la version 27.39 del ELISTARA de hoy.



Cuidado con los cazapasswords del Banker, que pueden haber capturado tus contraseñas bancarias, y aunque ahora ya está aparcado, el hacker puede haberlas recibido y obrar en consecuencia !!! :(



saludos



ms, 3-4-2013