Ver la Versión Completa : pc rara
incognito20 18/04/08, 14:13:30 hola ultimamente mi pc esta rara ya que se abren ventanas de internet solas, se traba, etc. aqui les dejo lo que salio en el hijackhis para que me ayuden gracias:smile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:10:41 p.m., on 18/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\archiv~1\mcafee\MCAFEE~1\masalert.exe
C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\ARCHIV~1\Compaq\EASYAC~1\BttnServ.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
c:\archiv~1\mcafee\mcafee antispyware\massrv.exe
C:\Archivos de programa\Messenger\msmsgs.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DrvLsnr] "C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe"
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] "C:\Archivos de programa\Compaq\SetRefresh\SetRefresh.exe"
O4 - HKLM\..\Run: [CPQEASYACC] "C:\Archivos de programa\COMPAQ\Easy Access Button Support\StartEAK.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Epson Control Print] "C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe"
O4 - HKLM\..\Run: [Ink Monitor] "C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\archiv~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Clock knob fast okay] C:\Documents and Settings\All Users\Datos de programa\Idle Skip Clock Knob\Loud vc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [exitace] C:\DOCUME~1\LOCALS~1\DATOSD~1\MP3CAK~1\IntraChicMu lti.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://estilos1986.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168912040453
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-063bd59d94adde70.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C9386579-3C0F-4713-82C6-5BA8088C7C8D} (Windows Live SkyDrive Upload Tool) - https://secure.shared.live.com/Pa6vGqB728AxD-ckvrPc0A/etc/Microsoft.Live.Folders.RichUpload.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {FF3C5A9F-5A99-4930-80E8-4709194C2AD3} (ZPA_Backgammon Object) - http://zone.msn.com/bingame/zpagames/ZPA_Backgammon.cab55579.cab
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\archiv~1\mcafee\mcafee antispyware\massrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 12274 bytes
GuillermoTell 20/04/08, 02:15:57 Hola incognito20 te doy la bienvenida al foro de Infospyware (http://www.infospyware.com/).
*Nota*
Antes de empezar con la desinfección desinstala programas como:
Messenger Plus! <-- Si lo instalo con su patrocinador CID desinstalelo y vuelvalo a instalar sin este.
CiD Help/CiD Manager
Netpumper
BitGrabber
Bitroll
BitDownload
torrentq
torrent101
Zone Media
Download Plugin for Internet Explorer
:1:-Apaga el "Restaurar Sistema (http://www.forospyware.com/292280-post2.html)" (solo en Win Me y XP) y activa ver archivos ocultos (http://www.forospyware.com/292282-post3.html).
:2:- Descarga, Instala y/o actualiza y estos programas, (pero no las ejecutes aun).
SuperAntiSpyware (http://www.forospyware.com/t102977.html)
Killbox (http://www.forospyware.com/292289-post6.html).
:3:-Reinicia en Modo Seguro (a prueba de fallos) (http://www.forospyware.com/292284-post4.html)
Ejecuta Hijackthis con todos los programas cerrados y dale ::fix:: a las siguientes entradas:
O4 - HKLM\..\Run: [Clock knob fast okay] C:\Documents and Settings\All Users\Datos de programa\Idle Skip Clock Knob\Loud vc.exe
O4 - HKCU\..\Run: [exitace] C:\DOCUME~1\LOCALS~1\DATOSD~1\MP3CAK~1\IntraChicMu lti.exe
O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe
:4:-Ejecuta estos programas (de a uno).
SuperAntiSpyware
Realiza un escaneo completo del PC y elimina las infecciones que este encuentre siguiendo las indicaciones de su manual (http://www.forospyware.com/t102977.html).
Ejecutar KillBox y seleccionar:
"Delete on reboot" (Eliminar al reiniciar)
"All Files" (Todos los archivos)
Copiar todos los archivos y/o carpetas que se van a eliminar (los dejo dentro del recuadro de mas abajo):
C:\Documents and Settings\All Users\Datos de programa\Idle Skip Clock Knob
C:\DOCUME~1\LOCALS~1\DATOSD~1\MP3CAK~1
y pegarlo en el marco "Full Path of File to Delete"
Ir a Menú "File" y seleccionar "Paste from Clipboard" para que se agreguen el resto de los archivos.
Hacer clic en el botón con el círculo rojo y blanco X .:cf_icon:. ( "Eliminar Archivo"), espera unos momentos y luego acepta el mensaje que aparecerá (Tu sistema será reiniciado)
Después de reiniciar, se creará un archivo log.txt ubicado en C:\!KillBox\Logs, donde podrás comprobar los resultados.
:5:- Reinicia en modo normal y usa el CCleaner (http://www.forospyware.com/t105564.html)para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
:6:-Pega un nuevo Log de Hijackthis y comentanos como esta trabajando el PC. :feca:
NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.
incognito20 30/04/08, 12:24:37 hola lamento no haber respondido pero esque he tenido algunos problemas y me habia olvidado de este tema estoy haciendo le que me indicaste gracias
incognito20 30/04/08, 16:56:29 aqui esta el nuevo reporte gracias
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:54:34 p.m., on 30/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\Administrador\fdh.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Archivos de programa\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
c:\archiv~1\mcafee\mcafee antispyware\massrv.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\archiv~1\mcafee\MCAFEE~1\masalert.exe
C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\ARCHIV~1\Compaq\EASYAC~1\BttnServ.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gateway.2wire.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\Administrador\fdh.exe \s
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DrvLsnr] "C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe"
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] "C:\Archivos de programa\Compaq\SetRefresh\SetRefresh.exe"
O4 - HKLM\..\Run: [CPQEASYACC] "C:\Archivos de programa\COMPAQ\Easy Access Button Support\StartEAK.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Epson Control Print] "C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe"
O4 - HKLM\..\Run: [Ink Monitor] "C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\archiv~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Temperate Services] wintmp.exe
O4 - HKLM\..\Run: [qarlw] C:\WINDOWS\system32\qarlw.exe \u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://estilos1986.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168912040453
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-063bd59d94adde70.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C9386579-3C0F-4713-82C6-5BA8088C7C8D} (Windows Live SkyDrive Upload Tool) - https://secure.shared.live.com/Pa6vGqB728AxD-ckvrPc0A/etc/Microsoft.Live.Folders.RichUpload.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {FF3C5A9F-5A99-4930-80E8-4709194C2AD3} (ZPA_Backgammon Object) - http://zone.msn.com/bingame/zpagames/ZPA_Backgammon.cab55579.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\archiv~1\mcafee\mcafee antispyware\massrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 12424 bytes
GuillermoTell 30/04/08, 19:14:53 Hola incognito20 podrias ubicar este archivo y copiar su ruta exacta:
wintmp.exe
Creo que debe estar ubicado en la carpeta C:\Windows\System32 ó en C:\Windows confirmame ese dato por favor y sube ese archivo a esta pagina: Virustotal (http://www.forospyware.com/t164620.html#post701887), lo haces analizar y pegas su reporte.
Realiza tambien un ánalisis de este archivo: C:\WINDOWS\system32\qarlw.exe
Saludos. :feca:
incognito20 30/04/08, 19:49:03 este tema ya lo estoy tratando en http://www.forospyware.com/t166159.html creo que deveriamos cerrar este tema para no tener dos abiertos de todos modos aqui esta los reportes
Análisis del archivo WINTMP.EXE recibido el 01.05.2008 00:36:52 (CET)Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.1.0 2008.04.30 -
AntiVir 7.8.0.11 2008.04.30 Worm/IrcBot.19968.18
Authentium 4.93.8 2008.04.30 -
Avast 4.8.1169.0 2008.04.30 -
AVG 7.5.0.516 2008.04.30 SHeur.BHTM
BitDefender 7.2 2008.05.01 Win32.Worm.Slenfbot.E
CAT-QuickHeal 9.50 2008.04.30 Backdoor.IRCBot.csf
ClamAV 0.92.1 2008.04.30 -
DrWeb 4.44.0.09170 2008.04.30 -
eSafe 7.0.15.0 2008.04.28 suspicious Trojan/Worm
eTrust-Vet 31.3.5749 2008.04.30 -
Ewido 4.0 2008.04.30 -
F-Prot 4.4.2.54 2008.05.01 -
F-Secure 6.70.13260.0 2008.04.30 Backdoor.Win32.IRCBot.csf
FileAdvisor 1 2008.05.01 -
Fortinet 3.14.0.0 2008.04.30 W32/IRCBot.CSF!tr.bdr
Ikarus T3.1.1.26.0 2008.04.30 Dialer
Kaspersky 7.0.0.125 2008.05.01 Backdoor.Win32.IRCBot.csf
McAfee 5285 2008.04.30 -
Microsoft 1.3408 2008.04.22 Worm:Win32/Slenfbot.gen!B
NOD32v2 3067 2008.04.30 -
Norman 5.80.02 2008.04.30 -
Panda 9.0.0.4 2008.04.30 -
Prevx1 V2 2008.05.01 Generic.Malware
Rising 20.42.22.00 2008.04.30 -
Sophos 4.29.0 2008.05.01 Mal/Generic-A
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.05.01 -
TheHacker 6.2.92.298 2008.04.30 Backdoor/IRCBot.csf
VBA32 3.12.6.5 2008.04.30 -
VirusBuster 4.3.26:9 2008.04.30 -
Webwasher-Gateway 6.6.2 2008.04.30 BlockReason.0
Información adicional
Tamano archivo: 19968 bytes
MD5...: 9d10555d0796dca73d8a7368fc85f702
SHA1..: 97ae12d35067ce032820426910e74df0176c571b
SHA256: 788faa85b3a3a2c3dc896f731556aa7a1f215e4b63057d1150 4bf3287a6b1e30
SHA512: b9fe617296cb8e73463cc5ff47898f40365ac8164f8106ad38 ebc40f01c88aad<BR>8c883b60693ccf965f7d9b048bc630e361223a3db74f15c2f6 ebcbfc3b65af6f
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x4173e0<BR>timedatestamp.....: 0x418366fd (Sat Oct 30 10:03:41 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x12000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x13000 0x5000 0x4600 7.87 842d92290b966029a679b602f315d7e2<BR>UPX2 0x18000 0x2000 0x400 1.40 37ce303867af1864cb2adc8571b0b59e<BR><BR>( 3 imports ) <BR>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<BR>> GDI32.DLL: Chord<BR>> USER32.DLL: ScrollDC<BR><BR>( 0 exports ) <BR>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4C69728B003910C94E6800437 58B96009B19C839
packers (F-Prot): UPX
Motor antivirus;Versión;Última actualización;Resultado
AhnLab-V3;2008.5.1.0;2008.04.30;-
AntiVir;7.8.0.11;2008.04.30;Worm/IrcBot.19968.18
Authentium;4.93.8;2008.04.30;-
Avast;4.8.1169.0;2008.04.30;-
AVG;7.5.0.516;2008.04.30;SHeur.BHTM
BitDefender;7.2;2008.05.01;Win32.Worm.Slenfbot.E
CAT-QuickHeal;9.50;2008.04.30;Backdoor.IRCBot.csf
ClamAV;0.92.1;2008.04.30;-
DrWeb;4.44.0.09170;2008.04.30;-
eSafe;7.0.15.0;2008.04.28;suspicious Trojan/Worm
eTrust-Vet;31.3.5749;2008.04.30;-
Ewido;4.0;2008.04.30;-
F-Prot;4.4.2.54;2008.05.01;-
F-Secure;6.70.13260.0;2008.04.30;Backdoor.Win32.IRCB ot.csf
FileAdvisor;1;2008.05.01;-
Fortinet;3.14.0.0;2008.04.30;W32/IRCBot.CSF!tr.bdr
Ikarus;T3.1.1.26.0;2008.04.30;Dialer
Kaspersky;7.0.0.125;2008.05.01;Backdoor.Win32.IRCB ot.csf
McAfee;5285;2008.04.30;-
Microsoft;1.3408;2008.04.22;Worm:Win32/Slenfbot.gen!B
NOD32v2;3067;2008.04.30;-
Norman;5.80.02;2008.04.30;-
Panda;9.0.0.4;2008.04.30;-
Prevx1;V2;2008.05.01;Generic.Malware
Rising;20.42.22.00;2008.04.30;-
Sophos;4.29.0;2008.05.01;Mal/Generic-A
Sunbelt;3.0.1056.0;2008.04.17;-
Symantec;10;2008.05.01;-
TheHacker;6.2.92.298;2008.04.30;Backdoor/IRCBot.csf
VBA32;3.12.6.5;2008.04.30;-
VirusBuster;4.3.26:9;2008.04.30;-
Webwasher-Gateway;6.6.2;2008.04.30;BlockReason.0
Información adicional
Tamano archivo: 19968 bytes
MD5...: 9d10555d0796dca73d8a7368fc85f702
SHA1..: 97ae12d35067ce032820426910e74df0176c571b
SHA256: 788faa85b3a3a2c3dc896f731556aa7a1f215e4b63057d1150 4bf3287a6b1e30
SHA512: b9fe617296cb8e73463cc5ff47898f40365ac8164f8106ad38 ebc40f01c88aad<BR>8c883b60693ccf965f7d9b048bc630e361223a3db74f15c2f6 ebcbfc3b65af6f
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x4173e0<BR>timedatestamp.....: 0x418366fd (Sat Oct 30 10:03:41 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x12000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x13000 0x5000 0x4600 7.87 842d92290b966029a679b602f315d7e2<BR>UPX2 0x18000 0x2000 0x400 1.40 37ce303867af1864cb2adc8571b0b59e<BR><BR>( 3 imports ) <BR>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<BR>> GDI32.DLL: Chord<BR>> USER32.DLL: ScrollDC<BR><BR>( 0 exports ) <BR>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4C69728B003910C94E6800437 58B96009B19C839
packers (F-Prot): UPX
--------------------------------------------------------------------------
Análisis del archivo QARLW.EXE recibido el 01.05.2008 00:41:37 (CET)Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.1.0 2008.04.30 -
AntiVir 7.8.0.11 2008.04.30 -
Authentium 4.93.8 2008.04.30 -
Avast 4.8.1169.0 2008.04.30 -
AVG 7.5.0.516 2008.04.30 Generic10.RCL
BitDefender 7.2 2008.05.01 -
CAT-QuickHeal 9.50 2008.04.30 -
ClamAV 0.92.1 2008.04.30 -
DrWeb 4.44.0.09170 2008.04.30 -
eSafe 7.0.15.0 2008.04.28 suspicious Trojan/Worm
eTrust-Vet 31.3.5749 2008.04.30 -
Ewido 4.0 2008.04.30 -
F-Prot 4.4.2.54 2008.05.01 -
F-Secure 6.70.13260.0 2008.04.30 -
FileAdvisor 1 2008.05.01 -
Fortinet 3.14.0.0 2008.04.30 -
Ikarus T3.1.1.26.0 2008.04.30 Backdoor.Win32.Tofsee.F
Kaspersky 7.0.0.125 2008.05.01 Heur.Trojan.Generic
McAfee 5285 2008.04.30 -
Microsoft 1.3408 2008.04.22 Backdoor:Win32/Tofsee.F
NOD32v2 3067 2008.04.30 -
Norman 5.80.02 2008.04.30 W32/Malware
Panda 9.0.0.4 2008.04.30 -
Prevx1 V2 2008.05.01 TROJAN.AGENT.GEN
Rising 20.42.22.00 2008.04.30 -
Sophos 4.29.0 2008.05.01 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.05.01 Backdoor.Ranky
TheHacker 6.2.92.298 2008.04.30 -
VBA32 3.12.6.5 2008.04.30 -
VirusBuster 4.3.26:9 2008.04.30 -
Webwasher-Gateway 6.6.2 2008.04.30 BlockReason.0
Información adicional
Tamano archivo: 59392 bytes
MD5...: 2f471160b98b6db84c9abb1db495947b
SHA1..: 9041e0624e403e8e19b0f4834136db6272db740f
SHA256: 7a328eb57af93431a9ceb5d4b361d8c21025822358e8f93ad2 e72a3be85ebbf7
SHA512: 9a10089d4a0fbdd5d0a273547bbbb2b110b2ae2e340687683f c8a16dc268501e<BR>e2ade8b64a0c15ec7a639005cf41af1a81061b0b37792bb009 f82596a1f495d5
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x42bd50<BR>timedatestamp.....: 0x419d054e (Thu Nov 18 20:25:50 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x1e000 0xe000 0xe000 7.87 ba800aecd20360fd2d7fd1cbe64ea413<BR>UPX2 0x2c000 0x2000 0x400 1.61 8781c941e999b89e4c50d49cac8496f2<BR><BR>( 4 imports ) <BR>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<BR>> GDI32.DLL: GetPixel<BR>> OLE32.DLL: OleLoad<BR>> USER32.DLL: IsChild<BR><BR>( 0 exports ) <BR>
Norman Sandbox: [ General information ]<BR>* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.<BR>* Creating several executable files on hard-drive.<BR>* File length: 59392 bytes.<BR><BR>[ Changes to filesystem ]<BR>* Creates file C:\DOCUME~1\SANDBOX\lscqfy.exe.<BR>* Creates file C:\WINDOWS\SYSTEM32\lxqso.exe.<BR>* Creates file C:\WINDOWS\TEMP\removeMe2113.bat.<BR>* Deletes file \"c:\sample.exe\">nul.<BR>* Deletes file \"%%0\".<BR><BR>[ Changes to registry ]<BR>* Accesses Registry key \"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \".<BR>* Accesses Registry key \"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\".<BR>* Modifies value \"UserInit\"=\"C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\SANDB OX\lscqfy.exe \s\" in key \"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\".<BR>* Creates value \"lxqso\"=\"C:\WINDOWS\SYSTEM32\lxqso.exe \u\" in key \"HKLM\Software\Microsoft\Windows\CurrentVersion\Run \".<BR>* Sets value \"WarnOnZoneCrossing\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Sets value \"WarnOnPostRedirect\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Sets value \"WarnonBadCertRecving\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Creates key \"HKCU\Software\Microsoft\Internet Explorer\IntelliForms\".<BR>* Sets value \"AskUser\"=\"\" in key \"HKCU\Software\Microsoft\Internet Explorer\IntelliForms\".<BR>* Sets value \"WarnOnPost\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Creates key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>* Sets value \"MinLevel\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>* Sets value \"RecommendedLevel\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AAEC8E7B00042629E802002DD 2B75F00207E7D9C
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
packers (F-Prot): UPX
Motor antivirus;Versión;Última actualización;Resultado
AhnLab-V3;2008.5.1.0;2008.04.30;-
AntiVir;7.8.0.11;2008.04.30;-
Authentium;4.93.8;2008.04.30;-
Avast;4.8.1169.0;2008.04.30;-
AVG;7.5.0.516;2008.04.30;Generic10.RCL
BitDefender;7.2;2008.05.01;-
CAT-QuickHeal;9.50;2008.04.30;-
ClamAV;0.92.1;2008.04.30;-
DrWeb;4.44.0.09170;2008.04.30;-
eSafe;7.0.15.0;2008.04.28;suspicious Trojan/Worm
eTrust-Vet;31.3.5749;2008.04.30;-
Ewido;4.0;2008.04.30;-
F-Prot;4.4.2.54;2008.05.01;-
F-Secure;6.70.13260.0;2008.04.30;-
FileAdvisor;1;2008.05.01;-
Fortinet;3.14.0.0;2008.04.30;-
Ikarus;T3.1.1.26.0;2008.04.30;Backdoor.Win32.Tofse e.F
Kaspersky;7.0.0.125;2008.05.01;Heur.Trojan.Generic
McAfee;5285;2008.04.30;-
Microsoft;1.3408;2008.04.22;Backdoor:Win32/Tofsee.F
NOD32v2;3067;2008.04.30;-
Norman;5.80.02;2008.04.30;W32/Malware
Panda;9.0.0.4;2008.04.30;-
Prevx1;V2;2008.05.01;TROJAN.AGENT.GEN
Rising;20.42.22.00;2008.04.30;-
Sophos;4.29.0;2008.05.01;-
Sunbelt;3.0.1056.0;2008.04.17;-
Symantec;10;2008.05.01;Backdoor.Ranky
TheHacker;6.2.92.298;2008.04.30;-
VBA32;3.12.6.5;2008.04.30;-
VirusBuster;4.3.26:9;2008.04.30;-
Webwasher-Gateway;6.6.2;2008.04.30;BlockReason.0
Información adicional
Tamano archivo: 59392 bytes
MD5...: 2f471160b98b6db84c9abb1db495947b
SHA1..: 9041e0624e403e8e19b0f4834136db6272db740f
SHA256: 7a328eb57af93431a9ceb5d4b361d8c21025822358e8f93ad2 e72a3be85ebbf7
SHA512: 9a10089d4a0fbdd5d0a273547bbbb2b110b2ae2e340687683f c8a16dc268501e<BR>e2ade8b64a0c15ec7a639005cf41af1a81061b0b37792bb009 f82596a1f495d5
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x42bd50<BR>timedatestamp.....: 0x419d054e (Thu Nov 18 20:25:50 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x1e000 0xe000 0xe000 7.87 ba800aecd20360fd2d7fd1cbe64ea413<BR>UPX2 0x2c000 0x2000 0x400 1.61 8781c941e999b89e4c50d49cac8496f2<BR><BR>( 4 imports ) <BR>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<BR>> GDI32.DLL: GetPixel<BR>> OLE32.DLL: OleLoad<BR>> USER32.DLL: IsChild<BR><BR>( 0 exports ) <BR>
Norman Sandbox: [ General information ]<BR>* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.<BR>* Creating several executable files on hard-drive.<BR>* File length: 59392 bytes.<BR><BR>[ Changes to filesystem ]<BR>* Creates file C:\DOCUME~1\SANDBOX\lscqfy.exe.<BR>* Creates file C:\WINDOWS\SYSTEM32\lxqso.exe.<BR>* Creates file C:\WINDOWS\TEMP\removeMe2113.bat.<BR>* Deletes file \"c:\sample.exe\">nul.<BR>* Deletes file \"%%0\".<BR><BR>[ Changes to registry ]<BR>* Accesses Registry key \"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \".<BR>* Accesses Registry key \"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\".<BR>* Modifies value \"UserInit\"=\"C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\SANDB OX\lscqfy.exe \s\" in key \"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\".<BR>* Creates value \"lxqso\"=\"C:\WINDOWS\SYSTEM32\lxqso.exe \u\" in key \"HKLM\Software\Microsoft\Windows\CurrentVersion\Run \".<BR>* Sets value \"WarnOnZoneCrossing\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Sets value \"WarnOnPostRedirect\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Sets value \"WarnonBadCertRecving\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Creates key \"HKCU\Software\Microsoft\Internet Explorer\IntelliForms\".<BR>* Sets value \"AskUser\"=\"\" in key \"HKCU\Software\Microsoft\Internet Explorer\IntelliForms\".<BR>* Sets value \"WarnOnPost\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Creates key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>* Sets value \"MinLevel\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>* Sets value \"RecommendedLevel\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AAEC8E7B00042629E802002DD 2B75F00207E7D9C
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
packers (F-Prot): UPX
y este tambien me salio en el primer scaneo que hice ya que ahora esta escaneando por segunda vez por que no habia guardado el reporte y me lo pidieron
Análisis del archivo FDH.EXE recibido el 01.05.2008 00:43:38 (CET)Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.1.0 2008.04.30 -
AntiVir 7.8.0.11 2008.04.30 -
Authentium 4.93.8 2008.04.30 -
Avast 4.8.1169.0 2008.04.30 -
AVG 7.5.0.516 2008.04.30 Generic10.RCL
BitDefender 7.2 2008.05.01 -
CAT-QuickHeal 9.50 2008.04.30 -
ClamAV 0.92.1 2008.04.30 -
DrWeb 4.44.0.09170 2008.04.30 -
eTrust-Vet 31.3.5749 2008.04.30 -
Ewido 4.0 2008.04.30 -
F-Prot 4.4.2.54 2008.05.01 -
F-Secure 6.70.13260.0 2008.04.30 -
Fortinet 3.14.0.0 2008.04.30 -
Ikarus T3.1.1.26 2008.04.30 Backdoor.Win32.Tofsee.F
Kaspersky 7.0.0.125 2008.05.01 Heur.Trojan.Generic
McAfee 5285 2008.04.30 -
Microsoft None 2008.04.22 -
NOD32v2 3067 2008.04.30 -
Norman 5.80.02 2008.04.30 W32/Malware
Panda 9.0.0.4 2008.04.30 -
Prevx1 V2 2008.05.01 TROJAN.AGENT.GEN
Rising 20.42.22.00 2008.04.30 -
Sophos 4.29.0 2008.05.01 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.05.01 Backdoor.Ranky
TheHacker 6.2.92.298 2008.04.30 -
VBA32 3.12.6.5 2008.04.30 -
VirusBuster 4.3.26:9 2008.04.30 -
Webwasher-Gateway 6.6.2 2008.04.30 BlockReason.0
Información adicional
Tamano archivo: 59392 bytes
MD5...: 2f471160b98b6db84c9abb1db495947b
SHA1..: 9041e0624e403e8e19b0f4834136db6272db740f
SHA256: 7a328eb57af93431a9ceb5d4b361d8c21025822358e8f93ad2 e72a3be85ebbf7
SHA512: 9a10089d4a0fbdd5d0a273547bbbb2b110b2ae2e340687683f c8a16dc268501e<BR>e2ade8b64a0c15ec7a639005cf41af1a81061b0b37792bb009 f82596a1f495d5
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x42bd50<BR>timedatestamp.....: 0x419d054e (Thu Nov 18 20:25:50 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x1e000 0xe000 0xe000 7.87 ba800aecd20360fd2d7fd1cbe64ea413<BR>UPX2 0x2c000 0x2000 0x400 1.61 8781c941e999b89e4c50d49cac8496f2<BR><BR>( 4 imports ) <BR>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<BR>> GDI32.DLL: GetPixel<BR>> OLE32.DLL: OleLoad<BR>> USER32.DLL: IsChild<BR><BR>( 0 exports ) <BR>
packers: UPX
packers: PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
norman sandbox: [ General information ]<BR>* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.<BR>* Creating several executable files on hard-drive.<BR>* File length: 59392 bytes.<BR><BR>[ Changes to filesystem ]<BR>* Creates file C:\DOCUME~1\SANDBOX\lscqfy.exe.<BR>* Creates file C:\WINDOWS\SYSTEM32\lxqso.exe.<BR>* Creates file C:\WINDOWS\TEMP\removeMe2113.bat.<BR>* Deletes file \"c:\sample.exe\">nul.<BR>* Deletes file \"%%0\".<BR><BR>[ Changes to registry ]<BR>* Accesses Registry key \"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \".<BR>* Accesses Registry key \"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\".<BR>* Modifies value \"UserInit\"=\"C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\SANDB OX\lscqfy.exe \s\" in key \"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\".<BR>* Creates value \"lxqso\"=\"C:\WINDOWS\SYSTEM32\lxqso.exe \u\" in key \"HKLM\Software\Microsoft\Windows\CurrentVersion\Run \".<BR>* Sets value \"WarnOnZoneCrossing\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Sets value \"WarnOnPostRedirect\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Sets value \"WarnonBadCertRecving\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Creates key \"HKCU\Software\Microsoft\Internet Explorer\IntelliForms\".<BR>* Sets value \"AskUser\"=\"\" in key \"HKCU\Software\Microsoft\Internet Explorer\IntelliForms\".<BR>* Sets value \"WarnOnPost\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Creates key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>* Sets value \"MinLevel\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>* Sets value \"RecommendedLevel\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AAEC8E7B00042629E802002DD 2B75F00207E7D9C
Motor antivirus;Versión;Última actualización;Resultado
AhnLab-V3;2008.5.1.0;2008.04.30;-
AntiVir;7.8.0.11;2008.04.30;-
Authentium;4.93.8;2008.04.30;-
Avast;4.8.1169.0;2008.04.30;-
AVG;7.5.0.516;2008.04.30;Generic10.RCL
BitDefender;7.2;2008.05.01;-
CAT-QuickHeal;9.50;2008.04.30;-
ClamAV;0.92.1;2008.04.30;-
DrWeb;4.44.0.09170;2008.04.30;-
eTrust-Vet;31.3.5749;2008.04.30;-
Ewido;4.0;2008.04.30;-
F-Prot;4.4.2.54;2008.05.01;-
F-Secure;6.70.13260.0;2008.04.30;-
Fortinet;3.14.0.0;2008.04.30;-
Ikarus;T3.1.1.26;2008.04.30;Backdoor.Win32.Tofsee. F
Kaspersky;7.0.0.125;2008.05.01;Heur.Trojan.Generic
McAfee;5285;2008.04.30;-
Microsoft;None;2008.04.22;-
NOD32v2;3067;2008.04.30;-
Norman;5.80.02;2008.04.30;W32/Malware
Panda;9.0.0.4;2008.04.30;-
Prevx1;V2;2008.05.01;TROJAN.AGENT.GEN
Rising;20.42.22.00;2008.04.30;-
Sophos;4.29.0;2008.05.01;-
Sunbelt;3.0.1056.0;2008.04.17;-
Symantec;10;2008.05.01;Backdoor.Ranky
TheHacker;6.2.92.298;2008.04.30;-
VBA32;3.12.6.5;2008.04.30;-
VirusBuster;4.3.26:9;2008.04.30;-
Webwasher-Gateway;6.6.2;2008.04.30;BlockReason.0
Información adicional
Tamano archivo: 59392 bytes
MD5...: 2f471160b98b6db84c9abb1db495947b
SHA1..: 9041e0624e403e8e19b0f4834136db6272db740f
SHA256: 7a328eb57af93431a9ceb5d4b361d8c21025822358e8f93ad2 e72a3be85ebbf7
SHA512: 9a10089d4a0fbdd5d0a273547bbbb2b110b2ae2e340687683f c8a16dc268501e<BR>e2ade8b64a0c15ec7a639005cf41af1a81061b0b37792bb009 f82596a1f495d5
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x42bd50<BR>timedatestamp.....: 0x419d054e (Thu Nov 18 20:25:50 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x1e000 0xe000 0xe000 7.87 ba800aecd20360fd2d7fd1cbe64ea413<BR>UPX2 0x2c000 0x2000 0x400 1.61 8781c941e999b89e4c50d49cac8496f2<BR><BR>( 4 imports ) <BR>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<BR>> GDI32.DLL: GetPixel<BR>> OLE32.DLL: OleLoad<BR>> USER32.DLL: IsChild<BR><BR>( 0 exports ) <BR>
packers: UPX
packers: PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
norman sandbox: [ General information ]<BR>* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.<BR>* Creating several executable files on hard-drive.<BR>* File length: 59392 bytes.<BR><BR>[ Changes to filesystem ]<BR>* Creates file C:\DOCUME~1\SANDBOX\lscqfy.exe.<BR>* Creates file C:\WINDOWS\SYSTEM32\lxqso.exe.<BR>* Creates file C:\WINDOWS\TEMP\removeMe2113.bat.<BR>* Deletes file \"c:\sample.exe\">nul.<BR>* Deletes file \"%%0\".<BR><BR>[ Changes to registry ]<BR>* Accesses Registry key \"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \".<BR>* Accesses Registry key \"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\".<BR>* Modifies value \"UserInit\"=\"C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\SANDB OX\lscqfy.exe \s\" in key \"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\".<BR>* Creates value \"lxqso\"=\"C:\WINDOWS\SYSTEM32\lxqso.exe \u\" in key \"HKLM\Software\Microsoft\Windows\CurrentVersion\Run \".<BR>* Sets value \"WarnOnZoneCrossing\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Sets value \"WarnOnPostRedirect\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Sets value \"WarnonBadCertRecving\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Creates key \"HKCU\Software\Microsoft\Internet Explorer\IntelliForms\".<BR>* Sets value \"AskUser\"=\"\" in key \"HKCU\Software\Microsoft\Internet Explorer\IntelliForms\".<BR>* Sets value \"WarnOnPost\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\".<BR>* Creates key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>* Sets value \"MinLevel\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>* Sets value \"RecommendedLevel\"=\"\" in key \"HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\2\".<BR>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AAEC8E7B00042629E802002DD 2B75F00207E7D9C
GuillermoTell 30/04/08, 20:13:27 Hola incognito20 continuamos solo en este tema, el otro ya fue cerrado.
A continuación realizas los siguientes pasos:
:1:-Apaga el "Restaurar Sistema (http://www.forospyware.com/292280-post2.html)" (solo en Win Me y XP) y activa ver archivos ocultos (http://www.forospyware.com/292282-post3.html).
:2:- Descarga, Instala y/o actualiza estos programas, (pero no las ejecutes aun).
Malwarebytes' Anti-Malware (http://www.forospyware.com/t161085.html) <---instalalo y actualizalo pero no lo ejecutes todavia.
NOTA: Si despues de instalarlo el lenguaje esta en Ingles ve a la pestaña "Settings" y lo cambias a Español.
OTMoveit2 (http://www.forospyware.com/t154694.html) <-- Guardarlo en el escritorio.
SDFix.exe (http://www.forospyware.com/t77529.html) <---instalalo pero no le ejecutes todavia. Por defecto este programa se instalara en la carpeta C:\SDFix.
:3:- Reinicia en Modo Seguro (a prueba de fallos) (http://www.forospyware.com/292284-post4.html).
Ejecuta Hijackthis con todos los programas cerrados y dale ::fix:: a las siguientes entradas si estas se encuentran:
O4 - HKLM\..\Run: [Windows Temperate Services] wintmp.exe
O4 - HKLM\..\Run: [qarlw] C:\WINDOWS\system32\qarlw.exe \u
Ejecutar OTMoveIt2.exe siguiendo las indicaciones de su manual (http://www.forospyware.com/t154694.html).
Copiar el texto que se encuentra en el recuadrado de abajo, y pegar el texto en el marco izquierdo de OTMoveIt2 llamado "Paste Standard List of Files / Folders to be Moved".
NOTA: Asegurarse que esté marcado "Unregister Dll's and Ocx's".
C:\WINDOWS\SYSTEM32\WINTMP.EXE
C:\WINDOWS\SYSTEM32\QARLW.EXE
C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\FDH.EXE
Hacer clic en MoveIt! para lanzar la supresión. Se abrirá un aviso preguntando si deseamos reiniciar el PC, seleccione "NO" y continue con los demás pasos.
:4:-Ejecuta estos programas (de a uno).
Malwarebytes' Anti-Malware
Realiza un escaneo completo del PC y elimina las infecciones que este detecte como lo indica su manual (http://www.forospyware.com/t161085.html#post686337).
El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.
Ejecuta SDFix siguiendo los pasos indicados en su Manual (http://www.forospyware.com/t77529.html).
Entra en la carpeta C:\SDFix ubicada en el escritorio y haz doble clic sobre el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta C:\SDFix llamado Report.txt, copia y pega lo que indique ese reporte acá.
:5:-Reinicia en modo normal.
Usa el CCleaner (http://www.forospyware.com/t105564.html)para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
:6:-Saca un nuevo log deHijacktjis y pegalo para analizarlo junto al reporte de Malwarebytes Antimalware y SDFix.
NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.
incognito20 01/05/08, 18:35:43 ya hice los pasos que indicaste aqui esta los reportes
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:28:19 p.m., on 01/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
c:\archiv~1\mcafee\mcafee antispyware\massrv.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\Explorer.EXE
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
c:\ARCHIV~1\mcafee.com\vso\OasClnt.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\archiv~1\mcafee\MCAFEE~1\masalert.exe
C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\ARCHIV~1\Compaq\EASYAC~1\BttnServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gateway.2wire.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\Administrador\fdh.exe \s
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DrvLsnr] "C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe"
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] "C:\Archivos de programa\Compaq\SetRefresh\SetRefresh.exe"
O4 - HKLM\..\Run: [CPQEASYACC] "C:\Archivos de programa\COMPAQ\Easy Access Button Support\StartEAK.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Epson Control Print] "C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe"
O4 - HKLM\..\Run: [Ink Monitor] "C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\archiv~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Temperate Services] wintmp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://estilos1986.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168912040453
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-063bd59d94adde70.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C9386579-3C0F-4713-82C6-5BA8088C7C8D} (Windows Live SkyDrive Upload Tool) - https://secure.shared.live.com/Pa6vGqB728AxD-ckvrPc0A/etc/Microsoft.Live.Folders.RichUpload.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {FF3C5A9F-5A99-4930-80E8-4709194C2AD3} (ZPA_Backgammon Object) - http://zone.msn.com/bingame/zpagames/ZPA_Backgammon.cab55579.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\archiv~1\mcafee\mcafee antispyware\massrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 12385 bytes
Malwarebytes' Anti-Malware 1.11
Versión de la Base de Datos: 704
Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 127515
Tiempo transcurrido: 8 hour(s), 14 minute(s), 22 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 11
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 15
Ficheros Infectados: 27
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5b4c3b43-49b6-42a7-a602-f7acdca0d409} (Adware.OneStepSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5b4c3b43-49b6-42a7-a602-f7acdca0d409} (Adware.OneStepSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c1a6d8b8-93c3-4186-9dd1-13983f9f1d9b} (Adware.RightOnAds) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{3160f356-e8c3-4de2-a698-92eeeb3d3400} (Adware.RightOnAds) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@videoe gg.com/Publisher,version=0.2.0 (Adware.VideoEgg) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@videoe gg.com/Updater,version=0.2.0 (Adware.VideoEgg) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\AdvRemoteDbg (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\dcadssocial (Adware.RightOnAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\W MPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Valores del Registro Infectados:
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Updater (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461 (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060 (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\resources (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\resources\VideoEg g (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\resources\VideoEg g\images (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\resources\VideoEg g\messages (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\resources (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\resources\VideoEg g (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\resources\VideoEg g\images (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\resources\VideoEg g\messages (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Updater\2663 (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Datos de programa\VideoEgg (Adware.VideoEgg) -> Quarantined and deleted successfully.
Ficheros Infectados:
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\publisher.ver (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\avcodec.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\crashRpt.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\FLVEncoder.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\lame_enc.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\LevelMeter.ax (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\libcurlve.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\libpng.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\npvideoegg-publisher.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\VideoEgg_FLVWrite r.ax (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\3461\zlib.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\avcodec.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\crashRpt.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\FLVEncoder.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\lame_enc.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\LevelMeter.ax (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\libcurlve.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\libpng.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\npvideoegg-publisher.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\VideoEgg_FLVWrite r.ax (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Publisher\4060\zlib.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Updater\updater.ver (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Updater\2663\libcurlve.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\VideoEgg\Updater\2663\updater.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Datos de programa\VideoEgg\user.dat (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\DcadsSocial-uninstall.exe (Adware.RightOnAds) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrador\Datos de programa\urlredir.cfg (Adware.RightOnAds) -> Quarantined and deleted successfully.
[b]SDFix: Version 1.177
Run by Administrador on 01/05/2008 at 03:43 p.m.
Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\SYSTEM32\ATHPRX~1.DLL - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-01 16:06:53
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BTHPORT\Parameters\Keys\0013eff0ccbd]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\B THPORT\Parameters\Keys\0013eff0ccbd]
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 5
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2re s.dll,-22019"
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"="C:\\Archivos de programa\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.e xe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Archivos de programa\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Archivos de programa\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled: BlueSoleil"
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Archivos de programa\\Sony Ericsson\\Update Service\\Update Service.exe"="C:\\Archivos de programa\\Sony Ericsson\\Update Service\\Update Service.exe:*:Enabled:Update Service"
"C:\\mcoinstall.exe"="C:\\mcoinstall.exe:*:Enabled:mcoinstall"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Ejec utar un archivo DLL como una aplicaci¢n"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Micr osoft DirectPlay Voice Test"
"C:\\Archivos de programa\\LimeWire\\LimeWire.exe"="C:\\Archivos de programa\\LimeWire\\LimeWire.exe:*:Enabled:LimeWir e PRO 4.16.6"
"C:\\Archivos de programa\\BearShare Applications\\BearShare\\BearShare.exe"="C:\\Archivos de programa\\BearShare Applications\\BearShare\\BearShare.exe:*:Enabled:B earShare"
"C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\43.exe"="C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\43.exe:*:E nabled:@xpsp2res.dll,-22005"
"C:\\WINDOWS\\system32\\qarlw.exe"="C:\\WINDOWS\\system32\\qarlw.exe:*:Enabled:ENABLE"
"C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\86.exe"="C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\86.exe:*:E nabled:@xpsp2res.dll,-22005"
"C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\26.exe"="C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\26.exe:*:E nabled:@xpsp2res.dll,-22005"
"C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\84.exe"="C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\84.exe:*:E nabled:@xpsp2res.dll,-22005"
"C:\\Documents and Settings\\Administrador\\fdh.exe"="C:\\Documents and Settings\\Administrador\\fdh.exe:*:Enabled:ENABLE"
"C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\37.exe"="C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\37.exe:*:E nabled:@xpsp2res.dll,-22005"
"C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\23.exe"="C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\23.exe:*:E nabled:@xpsp2res.dll,-22005"
"C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\14.exe"="C:\\DOCUME~1\\ADMINI~1\\CONFIG~1\\Temp\\14.exe:*:E nabled:@xpsp2res.dll,-22005"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2re s.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Messenger (Phone)"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Mon 10 Dec 2007 848 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sun 17 Dec 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 15 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Mon 28 Apr 2008 59,392 A..H. --- "C:\_OTMoveIt\MovedFiles\04302008_185032\DOCUMENTS AND SETTINGS\ADMINISTRADOR\fdh.exe"
Mon 28 Apr 2008 19,968 A.SHR --- "C:\_OTMoveIt\MovedFiles\04302008_185032\WINDOWS\SY STEM32\wintmp.exe"
Finished!
incognito20 03/05/08, 05:03:58 ya esta limpia o que mas hay que hacer::ups::
GuillermoTell 04/05/08, 18:03:30 Hola incognito20 realzia los siguientes pasos:
:1:-Apaga el "Restaurar Sistema (http://www.forospyware.com/292280-post2.html)" (solo en Win Me y XP) y activa ver archivos ocultos (http://www.forospyware.com/292282-post3.html).
:2:- Reinicia en Modo Seguro (a prueba de fallos) (http://www.forospyware.com/292284-post4.html).
Ejecuta Hijackthis con todos los programs cerrados y dale ::fix:: a la siguiente entrada:
O4 - HKLM\..\Run: [Windows Temperate Services] wintmp.exe
:3:-Ejecuta estos programas (de a uno).
Malwarebytes' Anti-Malware
Ve a la pestaña "Herramientas" y ejecuta el Fileassassin para eliminar los archivos que te pongo a continuación en rojo:
C:\WINDOWS\system32\wintmp.exe
A continuación realiza un escaneo completo del PC y elimina las infecciones que este detecte como lo indica su Manual (http://www.forospyware.com/t161085.html#post686337).
El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.
Ejecutar OTMoveIt2.exe siguiendo las indicaciones de su manual (http://www.forospyware.com/t154694.html).
Copiar el texto que se encuentra en el recuadrado de abajo, y pegar el texto en el marco izquierdo de OTMoveIt2 llamado "Paste Standard List of Files / Folders to be Moved".
NOTA: Asegurarse que esté marcado "Unregister Dll's and Ocx's".
C:\WINDOWS\system32\wintmp.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\43.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\86.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\37.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\23.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\14.exe
Hacer clic en MoveIt! para lanzar la supresión. Se abrirá un aviso preguntando si deseamos reiniciar el PC, seleccione "SI" para reiniciar el PC.
:4:-:- Reinicia en modo normal y usa el CCleaner (http://www.forospyware.com/t105564.html)para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
:5:-Pega el reporte generado por Malwarebytes' Anti-Malware para revisarlos junto a un nuevo Log de Hijackthis.
NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.
| |