Ayuda virus indetectable!. E intratable.

[IMAPP]

Saludos, actualmente en mi trabajo existe un virus que actualmente no puedo erradicar.



Lo e intentado eliminar/tratar con:

DrWeb.

Symantec endpoint protection.

Mcafee Antivirus Enterprise.

Superantispyware.

Malwarebytes anti-maleware.

IObitmaleware.



Y aun no me protege el sistema y se sigue infectando, ademas de que no lo elimina. :?



La característica de este virus es que mientras estoy escribiendo una cadena de texto/números, sea en un editor de textos y/o cuadro de texto, me escribe caracteres al azar, posteriormente oprime automáticamente y seguidamente shift (lo que hace que se active stiky keys), y en algunas ocasiones se acciona el menú inicio.



Estoy seguro NO esta sucio el teclado. Pues después de hacer un formateo completo para reinstalar el sistema operativo, no ocurre nada hasta que acceso una memoria USB.



Muchas gracias, y espero y puedan ayudarme con esto.

[msc hotline sat]

Pues centra tu atención en el pendrive que insertas, prueba el ELIPEN y analiza la unidad en cuestión, enviandonos muestra de los ficheros que detecte sospechosos (AUTORUN.INF y el que lance en el mismo) y el informe del proceso (C:\INFOSAT.TXT)


[quote]






vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver



el resultado del proceso


[/quote]

Cuando recibamos dicho sospechoso, lo analizaremos y pasaremos a controlar, si procede, en las siguientes versiones de nuestras utilidades, de lo cual informaremos



saludos



ms, 4-11-2013

[IMAPP]

Reporte...



(5-11-2013 01:39:32 (GMT))

EliPen v2.6 (c)2012 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



(5-11-2013 01:39:44 (GMT))

EliPen v2.6 (c)2012 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



(5-11-2013 01:40:45 (GMT))

EliPen v2.6 (c)2012 S.G.H. / Satinfo S.L.

------------------------------------------

Configurado el AutoPlay por Tipo de Unidad

para TODOS los Usuarios del Sistema.



(5-11-2013 01:41:02 (GMT))

EliPen v2.6 (c)2012 S.G.H. / Satinfo S.L.

------------------------------------------





Unidad C:\ YA esta Protegida



(5-11-2013 01:41:08 (GMT))

EliPen v2.6 (c)2012 S.G.H. / Satinfo S.L.

------------------------------------------

Desactivado el AutoPlay Totalmente.

[IMAPP]

Después de escanear modo a prueba de fallos, el mcafee virusscan enterprise arrojo esto.

[msc hotline sat]

Pues dos cosas:



No pasó el ELIPEN sobre la unidad de pendrive, contrariamente a lo que le decíamos...



Vemos que tan solo lo hizo sobre unidad C, no sobre la G, H, I o la asignada para la unidad USB, con lo cual no detectó dicho virus ni protegió dicha unidad.



Y segunda, tenía el Conficker, virus que se transmite por comparticiones administrativas y por pendrive, entre otros medios, como inidcamos en:



http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp





Espero que ya lo haya eliminado, pero no estaría de mas proteger con el ELIPEN sus pendrives.



Aparte vemos que tambien tenía ficheros infectados con el VIRUT, arranque en MODO SEGURO y lance el VirusScan exhaustivamente hasta eliminarlo.



saludos



ms, 5-11-2013

[IMAPP]

Saludos, muchas gracias por el seguimiento a este problema, seré directo, como o que tengo que hacer para que estos virus no infecten mi computadora, y como hago para eliminar estos virus de mi computadora. Pues ya me canse de reformatear mi computadora. Veo que los cloud antivirus no funcionan :/



Y una mas, se pudiera decir que el "elipen" es un antivirus preventivo, tanto para USB como para PC?.



De nueva cuenta muchas gracias.

[msc hotline sat]

Pues aparte de tener instalado y actualizado un buen antivirus, es muy importante tener actualizados los parches de todas las aplicaciones, especialmente de microsoft, lo cual me temo que no lo tenías presente tras formatear repetidas veces, como dices...



Para evitar la entrada del Conficker desde Internet, es indispensable tener instalado el MS 08-067, incluido con windows XP SP3, aparte de vigilar con los pendrives (mejor tenerlos protegidos con el ELIPEN), y seguro que tras formatear no volvió a lanzar un windowsupdate ...



Y aunque asi fuera, si tiene otras máquinas infectadas, este virus es de los que se propaga por comparticiones administrativas, y con una sola máquina que estuviera infectada, volvería a infectar las demás.



Pero ello ya lo decimos en la NOTICIA que puede leer en el [url=http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp]enlace que le envié[/url]



Leaselo bien y vea los enlaces que contiene dicha noticia, y siga nuestros consejos sin olvidarse de ningun detalle, y si tiene alguna duda, comentenosla.



Y sobre el ELIPEN es una vacuna que impide que el ordenador ejecute automaticamente las instrucciones del AUTORUN.INF de cualquier pendrive, evitando asi la infección por dichop medio (de cualquier virus, incluido el Conficker)



Asi mismo, cuando el ELIPEN se utiliza sobre un pendrive, se crea en este una carpeta protegida con el nombre de AUTORUN.INF, evitando asi que un virus cree en dicha unidad el típico fichero con el mismo nombre, que es la manera como infectan el 99 % de los virus de pendrive (menos dos o tres que utilizan tecnicas de CPL-LNK como el STUXNET)



Y sepa que hemos tenido miles de casos con el Conficker y todos ellos los hemos solucionado, como puede ver si busca CONFICKER con el buscador del foro, y esperamos que su caso sea uno mas de los que se solucionen tras seguir las indicaciones al piue de la letra, y por último, cuidado con alguien que venga de fuera con un portatil, por ejemplo, y lo quiera conectar a su red... aunque tenga el antivirus residente y actualizado y el ELIPEN instalado, via comparticiones administrativas le infectará si el portátil intruso está infectado !!! Contra ello puede activar la opcion de CONTROL DE UNIDADES DE RED dentro de ANALIZADOR EN TIEMPO REAL, aunque ello ralentizará el rendimiento de las CPU, por esto no viene activada de entrada, pero en su caso le conviene hacerlo, y ponga contraseñas "duras", o sea alfanumericas, que dificulten el acceso de los malwares que intenten saltarselas, etc, etc.



saludos



ms, 6-11-2013

[IMAPP]

Saludos, adjunto una Muestra generada por la utileria. El antivirus me detecto a EliTriIP como virus, desactive los dos productos para ejecutarlo. Aun tengo el comportamiento de que se escriba automáticamente caracteres al azar, ademas de pausarse/trabarse la computadora por unos instantes, es algo relacionado con este virus?, existe alguna solución comercial para detectar/eliminar/evitar este tipo de infecciones?, a propósito después de haber formateado siempre actualizo windows update hasta las ultimas actualizaciones, ademas de sus drivers, imagine que despues de todo que se infecte de estas amenazas y genere estos comportamientos automáticos.



Mi SO es: Windows 8 con Mediacenter. Actualmente cuento con VirusScan Enterprise y malwarebytes antimaleware pro.



Muchas, muchas gracias, para encontrar la solución a este gran problema.



InfoSat.txt



(7-11-2013 05:07:40 (GMT))

EliTriIP v7.92 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Octubre del 2013)

---------------------------------------------

Sistema Operativo: Windows 8 Pro with Media Center (6.2.9200)

Usuario: Alberto Pérez Parra

ID de Usuario: S-1-5-21-2680719649-729799872-111735361-1002



Lista de Acciones (por Acción Directa):



(7-11-2013 05:07:43 (GMT))

EliTriIP v7.92 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Octubre del 2013)

---------------------------------------------

Sistema Operativo: Windows 8 Pro with Media Center (6.2.9200)

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-2680719649-729799872-111735361-1003



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(7-11-2013 05:41:15 (GMT))

EliTriIP v7.92 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Octubre del 2013)

---------------------------------------------

Sistema Operativo: Windows 8 Pro with Media Center (6.2.9200)

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-2680719649-729799872-111735361-1003



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 94946

Nº Total de Ficheros: 842992

Nº de Ficheros Analizados: 103158

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Respecto a la detección de virus en el ELITRIIP, es un falso positivo que ya hemos indicado tienen algunos antivirus con nuestras utilidades, pero no se debe hacer caso, ya que, si estuvieran infectadas, el autocomprobador de checksum daría fallo indicandolo, asi que simplemente pasar de ello, desactivar el antivirus o mejor aun, arrancar en MODO SEGURO para lanzar dichas utilidades:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26228





Y no se deben anexar muestras sospechosas en los Temas del foro, pues asi los podría descargar alguien e infectarse !!! Para el envio debe seguirse lo indicado en :



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334





Y la muestra que nos envia para analizar, no vemos donde la pide el infosat, posiblemente fuera una copia sospechosa por estar ubicada fuera de lugar, pero parece que no nos ha enviado el texto del infosat que lo pedía. En cualquier caso, entendemos que es por alguna anomalía de la ubicación de dicho fichero, pero no del propio fichero.



Borramos el fichero anexado en consecuencia.





Y esperamos que una vez eliminado el COnficker y aplicadas las medidas de proteccion indicadas en nuestro anterior post, configurando el VirusScan activando la opcion de CONTROL DE UNIDADES DE RED dentro de ANALIZADOR EN TIEMPO REAL, para controlar los virus que se transmiten desde la propia red, ya deje de persistir el problema de lentitud y demás, y si no fuera asi, posteenos el informe generado por el SPROCES e investigaremos posibles nuevos malwares que pudiera tener su ordenador aun no controlados:






[quote="para DESCARGAR el SPROCES, msc"]



http://www.zonavirus.com/descargas/sproces.asp



lanzar el SPROCES y pulsar en SALIR, tras lo cual se generará informe en c:\sproclog.txt, que nos puede postear para analizar


[/quote]

saludos



ms, 7-11-2013

[IMAPP]

Saludos, mi reporte...

[IMAPP]

Saludos, aun no se resuelve el problema de que se escriba al azar, algún disco de arranque que me permita erradicar esto, sinceramente estoy sin salida a esto. Muchas gracias, espero erradicar esto lo mas pronto posible.

[msc hotline sat]

Los informes deben postearse conn un COPIAR Y PEGAR, ASI:



(14-11-2013 06:04:10 GMT)

SProces v7.2 (c)2013 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows 8 Pro with Media Center (v6.2.9200)

Internet Explorer: (v9.10.9200.16736) 0

Equipo: IMAPP

Usuario: Alberto

Sesión de Usuario: Alberto



116 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WININIT.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NVVSVC.EXE

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NVSCPAPISVR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES (X86)\ASHAMPOO\ASHAMPOO CORE TUNER 2\ACT2SERVICE.EXE

C:\PROGRAM FILES (X86)\COMMON FILES\ADOBE\ARM\1.0\ARMSVC.EXE

C:\WINDOWS\SYSTEM32\ADMINSERVICE.EXE

C:\PROGRAM FILES (X86)\AUTODESK\CONTENT SERVICE\CONNECT.SERVICE.CONTENTSERVICE.EXE

C:\WINDOWS\SYSTEM32\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\DASHOST.EXE

C:\WINDOWS\SYSTEM32\EWSERVER.EXE

C:\WINDOWS\SYSTEM32\HECISERVER.EXE

C:\PROGRAM FILES (X86)\INTEL\INTEL(R) MANAGEMENT ENGINE COMPONENTS\DAL\JHI_SERVICE.EXE

C:\PROGRAM FILES (X86)\MALWAREBYTES' ANTI-MALWARE\MBAMSCHEDULER.EXE

C:\PROGRAM FILES (X86)\MCAFEE\COMMON FRAMEWORK\FRAMEWORKSERVICE.EXE

C:\PROGRAM FILES (X86)\MCAFEE\VIRUSSCAN ENTERPRISE\VSTSKMGR.EXE

C:\WINDOWS\SYSTEM32\MFEVTPS.EXE

C:\PROGRAM FILES (X86)\MCAFEE\VIRUSSCAN ENTERPRISE\MFEANN.EXE

C:\WINDOWS\SYSTEM32\CONHOST.EXE

C:\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2014\NVIDIA\SATELLITE\RAYSAT_3DSMAX2014_64SERVER.EXE

C:\WINDOWS\SYSTEM32\MITSIJM.EXE

C:\PROGRAM FILES (X86)\MCAFEE\COMMON FRAMEWORK\NAPRDMGR.EXE

C:\WINDOWS\SYSTEM32\SQLSERVR.EXE

C:\WINDOWS\SYSTEM32\NVSTREAMSVC.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVIDIA UPDATE CORE\DAEMONU.EXE

C:\WINDOWS\SYSTEM32\INTEGRATEDOFFICE.EXE

C:\WINDOWS\SYSTEM32\REMOTESOLVERDISPATCHERSERVICE.EXE

C:\WINDOWS\SYSTEM32\DISPATCHER.EXE

C:\WINDOWS\SYSTEM32\CONHOST.EXE

C:\PROGRAM FILES (X86)\MICROSOFT SQL SERVER\90\SHARED\SQLBROWSER.EXE

C:\WINDOWS\SYSTEM32\SQLWRITER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES (X86)\BLUETOOTH SUITE\ATH_COEXAGENT.EXE

C:\WINDOWS\SYSTEM32\MCSHIELD.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WUDFHOST.EXE

C:\WINDOWS\SYSTEM32\WUDFHOST.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\DWM.EXE

C:\WINDOWS\SYSTEM32\NVXDSYNC.EXE

C:\WINDOWS\SYSTEM32\NVVSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WMIPRVSE.EXE

C:\WINDOWS\SYSTEM32\DLLHOST.EXE

C:\PROGRAM FILES (X86)\INTEL\INTEL(R) RAPID STORAGE TECHNOLOGY\IASTORDATAMGRSVC.EXE

C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\GOOGLECRASHHANDLER.EXE

C:\WINDOWS\SYSTEM32\GOOGLECRASHHANDLER64.EXE

C:\PROGRAM FILES (X86)\INTEL\INTEL(R) MANAGEMENT ENGINE COMPONENTS\LMS\LMS.EXE

C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

C:\PROGRAM FILES (X86)\INTEL\INTEL(R) MANAGEMENT ENGINE COMPONENTS\UNS\UNS.EXE

C:\WINDOWS\SYSTEM32\WMPNETWK.EXE

C:\WINDOWS\SYSTEM32\NVSTREAMSVC.EXE

C:\WINDOWS\SYSTEM32\IPOINT.EXE

C:\WINDOWS\SYSTEM32\SYNTPENH.EXE

C:\WINDOWS\SYSTEM32\CONHOST.EXE

C:\WINDOWS\SYSTEM32\ITYPE.EXE

C:\WINDOWS\SYSTEM32\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\TASKHOSTEX.EXE

C:\WINDOWS\SYSTEM32\LIVECOMM.EXE

C:\WINDOWS\SYSTEM32\NVTRAY.EXE

C:\WINDOWS\SYSTEM32\WMIPRVSE.EXE

C:\WINDOWS\SYSTEM32\RAVCPL64.EXE

C:\WINDOWS\SYSTEM32\RAVBG64.EXE

C:\WINDOWS\SYSTEM32\SYNLENOVOGESTUREMGR.EXE

C:\WINDOWS\SYSTEM32\BTTRAY.EXE

C:\WINDOWS\SYSTEM32\BTVSTACK.EXE

C:\WINDOWS\SYSTEM32\ONEKEYSTUDIO.EXE

C:\WINDOWS\SYSTEM32\ENERGY MANAGEMENT.EXE

C:\WINDOWS\SYSTEM32\UTILITY.EXE

C:\WINDOWS\SYSTEM32\RTFTRACK.EXE

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVIDIA UPDATE CORE\NVTMRU.EXE

C:\PROGRAM FILES (X86)\ASHAMPOO\ASHAMPOO CORE TUNER 2\ACT2.EXE

C:\WINDOWS\SYSTEM32\ADSYNC.EXE

C:\WINDOWS\SYSTEM32\PCEE4.EXE

C:\PROGRAM FILES (X86)\LENOVO\YOUCAM\YOUCAMTRAY.EXE

C:\PROGRAM FILES (X86)\LENOVO\YOUCAM\YCMMIRAGE.EXE

C:\PROGRAM FILES (X86)\LENOVO\POWERDVD10\PDVD10SERV.EXE

C:\PROGRAM FILES (X86)\MCAFEE\COMMON FRAMEWORK\UDATERUI.EXE

C:\WINDOWS\SYSTEM32\SYNTPHELPER.EXE

C:\PROGRAM FILES (X86)\MCAFEE\COMMON FRAMEWORK\MCTRAY.EXE

C:\WINDOWS\SYSTEM32\SLDWORKS_FS.EXE

C:\PROGRAM FILES (X86)\MCAFEE\VIRUSSCAN ENTERPRISE\SHSTAT.EXE

C:\WINDOWS\SYSTEM32\SIDEBAR.EXE

C:\WINDOWS\SYSTEM32\RUNTIMEBROKER.EXE

C:\PROGRAM FILES (X86)\INTEL\INTEL(R) RAPID STORAGE TECHNOLOGY\IASTORICON.EXE

C:\WINDOWS\SYSTEM32\WMIPRVSE.EXE

C:\WINDOWS\SYSTEM32\MBAE.EXE

C:\WINDOWS\SYSWOW64\WWAHOST.EXE

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\WINDOWS\SYSTEM32\AUDIODG.EXE

C:\WINDOWS\SYSTEM32\TASKENG.EXE

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\WINDOWS\SYSTEM32\MSIEXEC.EXE

C:\USERS\ALBERTO\DESKTOP\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\SysWOW64\ieframe.dll

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20131111024935.dll

O2 - BHO: Adblock Plus for IE Browser Helper Object - {FFCB3198-32F3-4E8B-9539-4324694ED664} - C:\Program Files\Adblock Plus for IE\AdblockPlus32.dll

O4 - HKCU\..\Run: [Facebook Update] "C:\Users\Alberto\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver

O4 - HKCU\..\Run: [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe

O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60

O4 - HKLM\..\Run: [Dolby Home Theater v4] "C:\Program Files (x86)\Dolby Home Theater v4\pcee4.exe" -autostart

O4 - HKLM\..\Run: [Intel AppUp(SM) center] "C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe" --domain-id F0399437-FD0C-4A48-B101-F0314A6172E4

O4 - HKLM\..\Run: [YouCam Mirage] "C:\Program Files (x86)\Lenovo\YouCam\YCMMirage.exe"

O4 - HKLM\..\Run: [YouCam Tray] "C:\Program Files (x86)\Lenovo\YouCam\YouCamTray.exe" /s

O4 - HKLM\..\Run: [UpdateP2GShortCut] "C:\Program Files (x86)\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Lenovo\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\5.0"

O4 - HKLM\..\Run: [RemoteControl10] "C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.exe"

O4 - HKLM\..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files (x86)\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files (x86)\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\WOW6432node\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60

O4 - HKLM\..\WOW6432node\..\Run: [Dolby Home Theater v4] "C:\Program Files (x86)\Dolby Home Theater v4\pcee4.exe" -autostart

O4 - HKLM\..\WOW6432node\..\Run: [Intel AppUp(SM) center] "C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe" --domain-id F0399437-FD0C-4A48-B101-F0314A6172E4

O4 - HKLM\..\WOW6432node\..\Run: [YouCam Mirage] "C:\Program Files (x86)\Lenovo\YouCam\YCMMirage.exe"

O4 - HKLM\..\WOW6432node\..\Run: [YouCam Tray] "C:\Program Files (x86)\Lenovo\YouCam\YouCamTray.exe" /s

O4 - HKLM\..\WOW6432node\..\Run: [UpdateP2GShortCut] "C:\Program Files (x86)\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Lenovo\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\5.0"

O4 - HKLM\..\WOW6432node\..\Run: [RemoteControl10] "C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.exe"

O4 - HKLM\..\WOW6432node\..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey

O4 - HKLM\..\WOW6432node\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\WOW6432node\..\Run: [McAfeeUpdaterUI] "C:\Program Files (x86)\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey

O4 - HKLM\..\WOW6432node\..\Run: [ShStatEXE] "C:\Program Files (x86)\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKUS\.DEFAULT\..\Run: [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe (User 'Default user')

O4 - Startup: Sidebar.lnk = C:\Program Files\Windows Sidebar\sidebar.exe

O4 - Global Startup: Inicio rápido de SolidWorks 2014.lnk = C:\WINDOWS\Installer\{4FFA60C4-9A8B-4C9E-8265-2241B266304C}\NewShortcut2_87EDF6C81D0A4B7B84F42FE0C6A9D608.exe

O4 - Global Startup: Programa de descargas en segundo plano de SolidWorks.lnk = C:\Program Files (x86)\Common Files\Gestor de instalación de SolidWorks\BackgroundDownloading\sldBgDwld.exe /launch_from 0

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program Files\Microsoft Office 15\Root\Office15\EXCEL.EXE/3000

O8 - Extra context menu item: Se&nd to OneNote - res://C:\Program Files\Microsoft Office 15\Root\Office15\ONBttnIE.dll/105

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra button: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - (no file)

O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\BONJOUR\MDNSNSP.DLL

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O13 - Gopher Prefix: NULL2

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~2\NVIDIA~1\3DVISI~1\nvStInit.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)



Información Adicional:

----------------------

.scr (HKCR): DWGTrueViewScriptFile -> C:\WINDOWS\system32\notepad.exe "%1"



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ashampoo CoreTuner 2 ProcessMonitor Driver (ACT2PM) - Unknown owner - C:\Program Files (x86)\Ashampoo\Ashampoo Core Tuner 2\ACT2ProcessMonitor64.sys

O23 - Service: Ashampoo Core Tuner 2 Service (ACT2_Service) - Unknown owner - C:\Program Files (x86)\Ashampoo\Ashampoo Core Tuner 2\ACT2Service.exe

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: AtherosSvc - Qualcomm Atheros Commnucations - C:\Program Files (x86)\Bluetooth Suite\adminservice.exe

O23 - Service: Autodesk Content Service - Autodesk, Inc. - C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: SolidWorks Electrical Collaborative Server (ewserver) - Trace Software International - C:\Program Files\SolidWorks Corp\SolidWorks Electrical\server\EwServer.exe

O23 - Service: Google Update Servicio (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

O23 - Service: Tecnología de almacenamiento Intel(R) Rapid (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe

O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\HeciServer.exe

O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe

O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Servicio McAfee Framework (McAfeeFramework) - McAfee, Inc. - C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files (x86)\McAfee\VirusScan Enterprise\VsTskMgr.exe

*O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe (file missing)

O23 - Service: mental ray Satellite for Autodesk 3ds Max Design 2014 64-bit (mi-raysat_3dsmax2014_64) - Unknown owner - C:\Program Files\Autodesk\3ds Max Design 2014\NVIDIA\Satellite\raysat_3dsmax2014_64server.exe

O23 - Service: Autodesk Simulation Moldflow MITSI 2014 Job Manager (mitsijm2014) - Unknown owner - C:\Program Files\Autodesk\Inventor 2014\Moldflow\bin\mitsijm.exe

O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvvsvc.exe (file missing)

O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe

O23 - Service: Remote Solver for Flow Simulation 2014 (RemoteSolverDispatcher) - Mentor Graphics Corporation - C:\Program Files\SolidWorks Corp\SolidWorks Flow Simulation\binCFW\remotesolverdispatcherservice.exe

O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe

O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

O23 - Service: ZAtheros Bt&Wlan Coex Agent - Atheros - C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: @oem17.inf,%ACPIVPC.SvcDesc%;Lenovo Virtual Power Controller Driver (ACPIVPC) - Lenovo Corporation - C:\WINDOWS\System32\drivers\AcpiVpc.sys (file missing)

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: @oem16.inf,%BTHSUPPORT.SvcDesc%;Qualcomm Atheros Virtual Bluetooth Class (AthBTPort) - Qualcomm Atheros - C:\WINDOWS\system32\DRIVERS\btath_flt.sys (file missing)

O23 - Service: @oem9.inf,%ATHR.Service.DispName%;Qualcomm Atheros Extensible Wireless LAN device driver (athr) - Qualcomm Atheros Communications, Inc. - C:\WINDOWS\system32\DRIVERS\athw8x.sys (file missing)

O23 - Service: @oem15.inf,%BTATH_A2DP.SvcDesc%;Bluetooth A2DP Audio Driver (BTATH_A2DP) - Qualcomm Atheros - C:\WINDOWS\system32\drivers\btath_a2dp.sys (file missing)

O23 - Service: @oem15.inf,%btath_avdt.SvcDesc%;Qualcomm Atheros Bluetooth AVDT Service (btath_avdt) - Qualcomm Atheros - C:\WINDOWS\system32\drivers\btath_avdt.sys (file missing)

O23 - Service: @oem12.inf,%BTATH_BUS.SVCDESC%;Qualcomm Atheros Bluetooth Bus (BTATH_BUS) - Qualcomm Atheros - C:\WINDOWS\System32\drivers\btath_bus.sys (file missing)

O23 - Service: @oem18.inf,%BTATH_HCRP.SvcDesc%;Bluetooth HCRP Server driver (BTATH_HCRP) - Qualcomm Atheros - C:\WINDOWS\System32\drivers\btath_hcrp.sys (file missing)

O23 - Service: @oem19.inf,%BTATH_LWFLT%;Bluetooth LWFLT Device (BTATH_LWFLT) - Qualcomm Atheros - C:\WINDOWS\system32\DRIVERS\btath_lwflt.sys (file missing)

O23 - Service: @oem21.inf,%BTATH_RCP%;Bluetooth AVRCP Device (BTATH_RCP) - Qualcomm Atheros - C:\WINDOWS\System32\drivers\btath_rcp.sys (file missing)

O23 - Service: BtFilter - Qualcomm Atheros - C:\WINDOWS\system32\DRIVERS\btfilter.sys (file missing)

O23 - Service: @oem63.inf,%clwvd.DeviceDesc%;CyberLink WebCam Virtual Driver (clwvd) - CyberLink Corporation - C:\WINDOWS\system32\DRIVERS\clwvd.sys (file missing)

O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe

O23 - Service: @net1ic64.inf,%E1IExpress.Service.DispName%;Intel(R) PRO/1000 PCI Express Network Connection Driver I (e1iexpress) - Intel Corporation - C:\WINDOWS\system32\DRIVERS\e1i63x64.sys (file missing)

O23 - Service: FLEXnet Licensing Service - Flexera Software, Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: FlexNet Licensing Service 64 - Flexera Software LLC - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe

O23 - Service: Google Update Servicio (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

O23 - Service: igfx - Intel Corporation - C:\WINDOWS\system32\DRIVERS\igdkmd64.sys (file missing)

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\system32\drivers\RTKVHD64.sys (file missing)

O23 - Service: JMCR - JMicron Technology Corporation - C:\WINDOWS\System32\drivers\jmcr.sys (file missing)

O23 - Service: @oem7.inf,%L1C.Service.DispName%;NDIS Miniport Driver for Qualcomm Atheros AR81xx PCI-E Ethernet Controller (L1C) - Qualcomm Atheros Co., Ltd. - C:\WINDOWS\system32\DRIVERS\L1C63x64.sys (file missing)

O23 - Service: mbamchameleon - Unknown owner - C:\WINDOWS\system32\drivers\mbamchameleon.sys (file missing)

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\system32\drivers\mbam.sys (file missing)

O23 - Service: @oem1.inf,%HECI_SvcDesc%;Intel(R) Management Engine Interface (MEIx64) - Intel Corporation - C:\WINDOWS\System32\drivers\HECIx64.sys (file missing)

O23 - Service: McAfee Inc. mfeapfk (mfeapfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeapfk.sys (file missing)

O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys (file missing)

O23 - Service: McAfee Inc. mferkdet (mferkdet) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdet.sys (file missing)

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: @netwns64.inf,___ %NIC_Service_DispName_WIN7_64%;___ Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows 7 - 64 Bit (NETwNs64) - Intel Corporation - C:\WINDOWS\system32\DRIVERS\NETwNs64.sys (file missing)

O23 - Service: @oem5.inf,%NVHDA.SvcDesc%;Service for NVIDIA High Definition Audio Driver (NVHDA) - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvhda64v.sys (file missing)

O23 - Service: nvlddmkm - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvlddmkm.sys (file missing)

O23 - Service: @oem56.inf,%nvvad_WaveExtensible.SvcDesc%;NVIDIA Virtual Audio Device (Wave Extensible) (WDM) (nvvad_WaveExtensible) - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvvad64v.sys (file missing)

O23 - Service: @oem35.inf,%rtsuvc.DeviceDesc%;Lenovo EasyCamera (rtsuvc) - Realtek Semiconductor Corp. - C:\WINDOWS\system32\DRIVERS\rtsuvc.sys (file missing)

O23 - Service: SmbDrvI - Synaptics Incorporated - C:\WINDOWS\system32\DRIVERS\Smb_driver_Intel.sys (file missing)

O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files (x86)\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: @oem11.inf,%SynTP.SvcDesc%;Synaptics TouchPad Driver (SynTP) - Synaptics Incorporated - C:\WINDOWS\system32\DRIVERS\SynTP.sys (file missing)

**O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)

O23 - Service: wsvd - "CyberLink - C:\WINDOWS\system32\DRIVERS\wsvd.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------



67 Servicios.

29 de Carga Automatica.

38 de Carga Manual.

0 Deshabilitados.



Lo analizaremos e informaremos.



saludos



ms, 14-11-2013

[msc hotline sat]

Analizado el log del SPROCES, vemos este fichero sospechoso:



C:\WINDOWS\SYSTEM32\REMOTESOLVERDISPATCHERSERVICE.EXE





segun: http://es.systemexplorer.net/file-database/file/remotesolverdispatcherservice-exe



Añada .VIR a la extension de dicho fichero y envienoslo para analizar





y SI NO SON VOLUNTARIAS, pruebe de eliminar estas tres claves :





O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)



O9 - Extra button: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - (no file)



O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)





Tras ello, reinicie y cuentenos el resultado. Cuando recibamos el fichero solicitado, lo analizaremos e informaremos.









saludos



ms, 14-11-2013