Nuevo Gusano: Facebook.zip -> image_0016.jpeg-www.facebook.com -> sensory.exe

Por Mixel Adm el 27 de Octubre 2007 9:28 AM | | Comentarios (49)
<Actualización>
He actualizado el fix para que termine la mayor cantidad de nombre posibles, pero no es seguroa, por lo tanto primero intenta con el fix, en caso de que no funcione entonces sigue leyendo y haz lo que dice la otra actualización.
Saludos
</Actualización>

Iniciare por poner el resultado que obtuve ayer en virustotal.com del archivo:

Análisis del archivo image_0016.jpeg-www.facebook.com recibido el 27.10.2007 02:32:41 (CET)
Estado actual: análisis terminado
Resultado: 2/32 (6.25%)
Motor antivirus Versión Última actualización Resultado
AhnLab-V32007.10.27.02007.10.26-
AntiVir7.6.0.302007.10.26-
Authentium4.93.82007.10.26-
Avast4.7.1074.02007.10.26-
AVG7.5.0.5032007.10.26-
BitDefender7.22007.10.27-
CAT-QuickHeal9.002007.10.26-
ClamAV0.91.22007.10.26-
DrWeb4.44.0.091702007.10.26-
eSafe7.0.15.02007.10.22-
eTrust-Vet31.2.52442007.10.26-
Ewido4.02007.10.26-
FileAdvisor12007.10.27-
Fortinet3.11.0.02007.10.19-
F-Prot4.3.2.482007.10.26-
F-Secure6.70.13030.02007.10.26-
IkarusT3.1.1.122007.10.27Backdoor.Win32.Agent.LA
Kaspersky7.0.0.1252007.10.27-
McAfee51502007.10.26-
Microsoft1.29082007.10.27-
NOD32v226192007.10.26-
Norman5.80.022007.10.26-
Panda9.0.0.42007.10.27-
Prevx1V22007.10.27Heuristic: Suspicious Hijacker
Rising19.46.42.002007.10.26-
Sophos4.22.02007.10.26-
Sunbelt2.2.907.02007.10.27-
Symantec102007.10.27-
TheHacker6.2.9.1072007.10.25-
VBA323.12.2.42007.10.26-
VirusBuster4.3.26:92007.10.26-
Webwasher-Gateway6.6.12007.10.26-
Información adicional
Tamañ archivo: 59392 bytes
MD5: b0946ac0c0424d9afce55c0ada2232dd
SHA1: be102e5555b2ffd1b0061df8da1777233813b477

Importante IMPORTANTE: VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, quien no garantiza la disponibilidad y continuidad de funcionamiento de éste. Pese a que el índice de detección ofrecido por el análisis simultáneo de múltiples motores antivirus es muy superior al de un sólo producto, los resultados NO garantizan la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.


<Actualización>

Debido a que el virus genera varios nombres, el fix solo funciona para una variante, así que antes de postear algo, usa autoruns y process explorer, para ver si tienes algunos de los siguientes:

+ Microsoft Internet Service c:\windows\system32\inetsvc.exe
+ Microsoft Display Coupling Version 3 c:\windows\system32\displayv3.exe
+ Microsoft System Suspend c:\windows\system32\suspend.exe
+ Windows Display Coupler c:\windows\system32\display.exe
+ Windows Sensory Tool Version 2 c:\windows\system32\sensory.exe

</Actualización>



El virus no usa técnicas de ingenieria social como susu predecesores, simplemente te envia el archivo y listo, lo que si es larmante que solo un antivirus lo detecte como virus, y otro solo como posible virus, yo me pregunto0 ¿y todos los demás que esperan?

En este caso en particular, se trata de un virus un poco mejor programado que otros, listo para hacer su trabajo y nada más. Una de las pricipales mejoras que vi fue la de que el programa hace que el volcado (dump) sea casi imposible, ya que con las herramientas que probe no funciono y el Rootkit Unhooker se trabo al momento de tratar de hacer el volcado de memoria. Y otra cosa que no podemos dejar de lado es que el bot no se ejecuta en maquinas virtuales, no se bien si se trata de la red pill de Rutkowska o alguna otra técnica.

Bien pasemos a lo interesante, una vez que se ejecuta el virus, este crea un archivo llamado sensory.exe, con atributos de Oculto, Sistema y Solo lectura en la carpeta de System32 y no hay mucho más que decir.

Algunas cadenas interesantes son las siguientes:

open
ipconfig /flushdns
USER %s x x :%s
PASS %s
NICK %s
\%0.2u%s%s%s%s%s%s%s\%3s\%s
__oxFrame.class__
_Oscar_StatusNotify
MSBLWindowClass
YahooBuddyMain
TFrmMain
PuTTY
tSkMainForm.UnicodeClass
abcdefghijklmnopqrstuvwxyz1234567890
PART %s
JOIN %s
QUIT :Removing
QUIT :Reconnecting
PRIVMSG
KICK
JOIN %s %s
PONG %s
PING
##net
##net-s
sensory.exe
Windows Sensory Tool Version 2
su1c1d3
ns1.asiaincorporated.info
PRIVMSG %s :WGET  %s\%s  ERROR
PRIVMSG %s :WGET  %s\%s  %s [%s]
%s%d%d.exe
%s-SP%d
OTR
Open
> nul
/c del
COMSPEC
Software\Microsoft\Windows\CurrentVersion\Run
PRIVMSG %s :MSN  %s\%s  %d Contact(s)
PRIVMSG %s :MSN  %s\%s  Spread %d Time(s) in %d Minute(s)
Mozilla/4.0 (compatible)
.?AV_com_error@@
.?AVtype_info@@
irc.reconnect
irc.join
irc.part
irc.sync
main.wget
main.remove
msn.url
msn.self
msn.stop


Estas cadenas nos permiten ver que se trata de un IRC bot, que usa el dns ns1.asiaincorporated.info, y una cadena graciosa y que posiblemente sea un password es la de su1c1d3, que si no me equivoco dice suicide, y si es así, esta mal porque debería de ser 5u1c1d3, así que hasta puede estar mal escrito o en su defecto es solo para despistar al enemigo.

Algo que hay que resaltar es que usa el MSN Messenger y el Yahoo Messenger para distribuirse, por lo que no es de sorprender que sea rapidamente distribuido al rededor del planeta.

Ya para no andar con chingaderas como bien diría Armando Palomas, les dejo el fix para este Bot, virus, malware, o como le quieran decir.

Descargar Sensory Fixer


Video Juegos

Categorías

Malware , Mis Herramientas

Etiquetas

Etiquetas Technorati

49 Commentarios

Carolina dijo:
No me funciona :(

oye!!! tengo ese problema con mi msn pero el fixer q tienes ahi no me funciona, al final sale que el proceso no se pudo completar o algo asi y q deje un comentario q uds me pueden ayudar. les agradesco mucho su atencion y pronta respuesta. GRACIAS

27 de Octubre 2007 4:27 PM
Carolina dijo:
No me funciona :( 2

lo que aparece en realidad es "no se puede eliminar el proceso..." AYUDENME
Gracias.

27 de Octubre 2007 4:56 PM
jonathan dijo:
no pasa nada

me dice ke proceso no fue encontrado y lk probablemente no estoy infectado...

cosa ke si lo estoy...

raro?

salkudos

27 de Octubre 2007 11:00 PM
Wolf dijo:
tampoco...

hola... pues a mi tampoco me lo detecto, porfavor si alguien sabe q hacer con el worm haganmelo saber
gracias.

28 de Octubre 2007 4:43 PM
Lucia dijo:
Ayuda

Hola!! poseo este virus y no se como quitarlo trate con el fix que dejaste pero no lo quita quisiera que me ayudaras porque no he podido quitarle.. gracias

29 de Octubre 2007 9:36 AM
Mixel Adm Author Profile Page dijo:
Ups,.. sorry

Bien veo que a la gran mayoria no le ha funcionado el fix, realmente tengo que decir qeu no tengo la menor idea a que se deba esto, pero eso no es escusa, asi que por favor bajen el autoruns, generen un reporte y ponganlo aqui o en el foro, para poder ayudarles.

En el blog podran encontrar como utlizar el autoruns, en este link http://mixelandia.com/2007/09/como-usar-autoruns.php

Saludos.

29 de Octubre 2007 10:49 AM
Rodrigo dijo:
Ayuda

El fix no detectó nada y autorun me dió el siguiente informe :

Que más debo hacer para eliminarlo ???

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ ASUS Probe c:\program files\asus\probe\asusprob.exe
+ HP Software Update Hewlett-Packard Product Assistant (Not verified) Hewlett-Packard Development Company, L.P. c:\archivos de programa\hp\hp software update\hpwuschd2.exe
+ McAfeeUpdaterUI Common User Interface (Not verified) Network Associates, Inc. c:\archivos de programa\network associates\common framework\updaterui.exe
+ Microsoft Internet Service c:\windows\system32\inetsvc.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ ShStatEXE On-access scanner statistics (Not verified) Network Associates, Inc. c:\archivos de programa\network associates\virusscan\shstat.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ HP Digital Imaging Monitor.lnk HP Digital Imaging Monitor (Verified) Hewlett-Packard Company c:\archivos de programa\hp\digital imaging\bin\hpqtra08.exe

29 de Octubre 2007 11:30 AM
Mixel Adm Author Profile Page dijo:
Puede ser pero no estoy seguro

Hola Rodrigo, segun veo el tuyo puede ser otra versión del virus, ya que no se encuentra el mismo archivo.

pero segun lo que yo puedo ver se trata de este otro:
+ Microsoft Internet Service c:\windows\system32\inetsvc.exe

Usa process explorer para terminar el proceso y autoruns para eliminar la entrada, luego elimina el archivo del disco.

Saludos

29 de Octubre 2007 11:40 AM
laura dijo:
este es mi reporte

desde ya muchas gracias por vuestra ayuda!!! aqui les copio el reporte espernado instrucciones para continuar, seguilos pasos que indican en como usar el progra ma pero igual es muy largoo perdon!!!

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ AVG7_CC AVG Control Center (Not verified) GRISOFT, s.r.o. c:\archivos de programa\grisoft\avg free\avgcc.exe
+ BigDogPath BIGDOG (Not verified) BIGDOG c:\windows\vm_sti.exe
+ Cmaudio CmiCnfg DLL (Not verified) C-Media Corporation c:\windows\system\cmicnfg.cpl
+ Microsoft Display Coupling Version 3 c:\windows\system32\displayv3.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Computer, Inc. c:\archivos de programa\quicktime\qttask.exe
+ RaidTool File not found: C:\Archivos de programa\VIA\RAID\raid_to
+ RemoteControl PowerDVD RC Service (Not verified) Cyberlink Corp. c:\archivos de programa\cyberlink dvd solution\powerdvd\pdvdserv.exe
+ SpeedTouch USB Diagnostics SpeedTouch Statistics (Not verified) THOMSON Telecom Belgium c:\archivos de programa\thomson\dragdiag.exe
+ SunJavaUpdateSched Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.6.0_01\bin\jusched.exe
+ VTTimer (Not verified) S3 Graphics, Inc. c:\windows\system32\vttimer.exe
+ VTTrayp File not found: VTtrayp.exe
+ WA6PY_Check File not found: C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcwap.exe

29 de Octubre 2007 4:58 PM
Mixel Adm Author Profile Page dijo:
Para Laura

Hola

mira segun veo el problema es este archivo

+ Microsoft Display Coupling Version 3 c:\windows\system32\displayv3.exe

Usa Process Explorer para terminarlo o el Administrador de tareas y elimina el archivo, la entrada en el registro la eliminas con aurotuns.

Saludos

29 de Octubre 2007 5:26 PM
Isaac dijo:
Aqui esta mi reporte, espero puedan ayudarme, gracias

Aqui va mi reporte, espero puedan ayudarme, de antemano gracias.


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ AVG7_CC AVG Control Center (Not verified) GRISOFT, s.r.o. c:\archivos de programa\grisoft\avg free\avgcc.exe
+ AzMixerSel Azalia Mixer Select (Not verified) Realtek Semiconductor Corp. c:\archivos de programa\realtek\installshield\azmixersel.exe
+ CorelDRAW Graphics Suite 11b Registration (Not verified) Corel Corporation c:\archivos de programa\corel\corel graphics 12\languages\es\programs\registration.exe
+ ISBMgr.exe (Not verified) Sony Corporation c:\archivos de programa\sony\isb utility\isbmgr.exe
+ Microsoft System Suspend c:\windows\system32\suspend.exe
+ PartSeal PartSeal (Not verified) Sony Electronics Inc c:\windows\sonysys\vaio recovery\partseal.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Computer, Inc. c:\archivos de programa\quicktime\qttask.exe
+ SonyPowerCfg SPM Module (Not verified) Sony Corporation c:\archivos de programa\sony\vaio power management\spmgr.exe
+ SunJavaUpdateSched Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.6.0_03\bin\jusched.exe
+ TkBellExe RealNetworks Scheduler (Verified) RealNetworks, Inc. c:\archivos de programa\archivos comunes\real\update_ob\realsched.exe
+ VAIO Recovery PartSeal (Not verified) Sony Electronics Inc c:\windows\sonysys\vaio recovery\partseal.exe
+ VAIO Update 2 (Not verified) Sony Corporation c:\archivos de programa\sony\vaio update 2\vaioupdt.exe
+ VZRemoteCommander Do VAIO ???? ??????? (Not verified) Sony Corporation c:\archivos de programa\sony\vaio zone remote commander\avrmtctr.exe

29 de Octubre 2007 6:42 PM
Mixel Adm Author Profile Page dijo:
Resp

Hola Isaac
Tu culpable:
+ Microsoft System Suspend c:\windows\system32\suspend.exe

lo mismo que los demas... Proces explorer y autorus.

Saludos

29 de Octubre 2007 7:16 PM
Helena dijo:
Ayuda

Pues aqui esta mi reporte, ojala y me puedas ayudar la verdad ya me urge usar el msn, de antemano gracias

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ AutoTBar File not found: C:\hp\bin\autotbar.exe
+ CamMonitor c:\archivos de programa\hewlett-packard\digital imaging\unload\hpqcmon.exe
+ iTunesHelper iTunesHelper Module (Verified) Apple Computer, Inc. c:\archivos de programa\ipod\ituneshelper.exe
+ KYE_Showicon shwicon (Not verified) MyComp c:\archivos de programa\usb storage rw\shwicon.exe
+ nwiz NVIDIA nView Wizard, Version 31.50 (Not verified) NVIDIA Corporation c:\windows\system32\nwiz.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Inc. c:\archivos de programa\quicktime\qttask.exe
+ Share-to-Web Namespace Daemon c:\archivos de programa\hewlett-packard\hp share-to-web\hpgs2wnd.exe
+ SunJavaUpdateSched Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.6.0_02\bin\jusched.exe
+ Windows Display Coupler c:\windows\system32\display.exe
+ Windows Mx c:\windows\system32\winmx.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ hp center.lnk c:\archivos de programa\hp center\137903\program\backweb-137903.exe
C:\Documents and Settings\Propietario\Menú Inicio\Programas\Inicio
+ Herramienta de búsqueda de soportes de Cyber-shot Viewer.lnk Cyber-shot Viewer Volume Watcher (Not verified) Sony Corporation c:\archivos de programa\sony\sony picture utility\volumewatcher\spuvolumewatcher.exe
/* editado para brevedad*/

29 de Octubre 2007 8:17 PM
Mixel Adm Author Profile Page dijo:
RE: Ayuda

Hola Helena
EL procedimiento es el mismo que para todos los demás...

+ Windows Display Coupler c:\windows\system32\display.exe
+ Windows Mx c:\windows\system32\winmx.exe

de el segundo no estoy muy seguro..

Saludos

29 de Octubre 2007 8:20 PM
CLAUDIA dijo:
MI REPORTE

por favor ayuda, aqui esta el mio

Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ ccApp Common Client User Session (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccapp.exe
+ InCD InCD (Not verified) Nero AG c:\archivos de programa\ahead\incd\incd.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ PCTVOICE pctvoice MFC Application (Not verified) Conexant Systems, Inc. c:\windows\system32\pctspk.exe
+ PV92TRAY PTV92Tray Application (Not verified) Conexant Systems, Inc. c:\windows\system32\pv92tray.exe
+ RemoteControl PowerDVD RC Service (Not verified) Cyberlink Corp. c:\archivos de programa\cyberlink dvd solution\powerdvd\pdvdserv.exe
+ vptray Symantec AntiVirus (Verified) Symantec Corporation c:\archivos de programa\symantec antivirus\vptray.exe
+ Windows Sensory Tool Version 2 c:\windows\system32\sensory.exe

30 de Octubre 2007 9:18 AM
JESSY dijo:
AYUDAAAAAAAAAAA

Un dia me llego un archivo llamado facebok.zip a traves de msn y lo abri, desde ese dia cada vez k abro el msn envia automaticamente este archivo a mis contactos y no se como eliminarlo, este es mi reporte


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ Adobe Photo Downloader File not found: C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
+ ccApp Common Client User Session (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccapp.exe
+ JobHisInit JobHisInit MFC Application c:\archivos de programa\rmclient\jobhisinit.exe
+ Microsoft System Suspend c:\windows\system32\suspend.exe
+ MplSetUp MplSetUp (Not verified) RICOH CO.,LTD. c:\archivos de programa\rmclient\mplsetup.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ NvCplDaemon NVIDIA Display Properties Extension (Not verified) NVIDIA Corporation c:\windows\system32\nvcpl.dll
+ QuickTime Task (Not verified) Apple Computer, Inc. c:\archivos de programa\quicktime\qttask.exe
+ RemoteControl File not found: C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
+ Smapp SoundMAX System Tray (Not verified) Analog Devices, Inc. c:\archivos de programa\analog devices\soundmax\smtray.exe
+ SunJavaUpdateSched Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.6.0_02\bin\jusched.exe
+ TkBellExe RealNetworks Scheduler (Not verified) RealNetworks, Inc. c:\archivos de programa\archivos comunes\real\update_ob\realsched.exe
+ vptray Symantec AntiVirus (Verified) Symantec Corporation c:\archivos de programa\symantec antivirus\vptray.exe

30 de Octubre 2007 12:36 PM
Mixel Adm Author Profile Page dijo:
RE:Ayudaa

@Claudia

el fix te deberia de quitar el problema, poero si no es así este es el culpable:
+ Windows Sensory Tool Version 2 c:\windows\system32\sensory.exe

@Jessy

Al igual que con otro usuario este es tu culpable:

Microsoft System Suspend c:\windows\system32\suspend.exe


Nota edite los comentarios porque ya estaba tomando un nivel muy grande la pagina.

Saludos

30 de Octubre 2007 1:42 PM
CLAUDIA dijo:

muchas gracias por la ayuda, ya hice todo lo que me dijiste pero en el disco me aparecen otros dos archivos que no se si debo eliminar : SENSORY.EXE-346DB802.pf y el otro es SENSORYFIXER[1].EXE-356FFCCD.pf

30 de Octubre 2007 2:01 PM
laura dijo:
gracias!!!!

muchas gracias por la ayuda, aparentemente ya esta solucionado, mil gracias!!!

30 de Octubre 2007 6:25 PM
Mixel Adm Author Profile Page dijo:
Bien

Hola Claudia

Esos archivos son del Sistema Operativo, puedes borrarlos o dejarlos ahi, no hace ninguna diferencia.

@Laura

Que bien !!!!!!

Saludos

30 de Octubre 2007 7:48 PM
gaby dijo:
:(

Hola, poco se de todo esto y tengo ese bicho y no se como sacarlo, me ayudas?
GRACIAS!
Hice lo del auto run y me dijo esto:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ AVG7_CC AVG Control Center (Not verified) GRISOFT, s.r.o. c:\archivos de programa\grisoft\avg7\avgcc.exe
+ googletalk Google Talk (Not verified) Google c:\archivos de programa\google\google talk\googletalk.exe
+ HP Software Update hpwuSchd Application (Verified) Hewlett-Packard Company c:\archivos de programa\hp\hp software update\hpwuschd2.exe
+ ISUSPM Startup InstallShield Update Service Update Manager (Not verified) Macrovision Corporation c:\archivos de programa\archivos comunes\installshield\updateservice\isuspm.exe
+ ISUSScheduler InstallShield Update Service Scheduler (Not verified) Macrovision Corporation c:\archivos de programa\archivos comunes\installshield\updateservice\issch.exe
+ LogitechCommunicationsManager Communications Manager (Verified) Logitech Inc c:\archivos de programa\archivos comunes\logishrd\lcommgr\communications_helper.exe
+ LogitechQuickCamRibbon Camera Software (Verified) Logitech Inc c:\archivos de programa\logitech\quickcam\quickcam.exe
+ PCTVOICE pctvoice MFC Application (Not verified) Conexant Systems, Inc. c:\windows\system32\pctspk.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Inc. c:\archivos de programa\quicktime\qttask.exe
+ Windows Running Service c:\windows\system32\runsvc.exe

30 de Octubre 2007 9:18 PM
Mixel Adm Author Profile Page dijo:

Hola gaby

En tu caso este es el proceso culpable
+ Windows Running Service c:\windows\system32\runsvc.exe

Por cierto acavo de actualizar el fix para que resuelva todos los nombres que usa hasta el momento este bicho ;)

Saludos

31 de Octubre 2007 10:03 AM
CLAUDIA dijo:

MUCHAS GRACIAS, YA TODO ME FUNCIONA BIEN. QUE BUENO QUE EXISTAN ESTAS AYUDAS. CHAO

31 de Octubre 2007 10:08 AM
Jessu dijo:
GRACIAS!!!

Muchas gracias, todo solucionado

31 de Octubre 2007 10:26 AM
isaac correa dijo:
hice todo gracias por su ayuda

hola gracias no escribe lo de mi reporte autorun por que lei todo y era igual a del resto

c:\windows\system32\suspend.exe

y borre otro de la carpeta de windows

C:\WINDOWS\Prefetch

encontre el mismo archivo suspend .exe pero .pf

lo borre por si acaso


desde ya doy la gracias por la yuda el bicho es muy molestoso

31 de Octubre 2007 3:52 PM
Miramar dijo:
AYUDA!

Sé que no es necesario ser experto en computación para NO abrir archivos comprimidos .exe, pero LO HICE y me pegué este maldito bicho!
He probado una veintena de cosas y ya no sé qué más me queda... de suerte di con esta página, espero que me puedan ayudar. Por lo que veo se mantiene actualizada, así que ojalá lean mi reporte y me indiquen qué puedo hacer.
Ah sí, por el momento he desintalado msn... me tenía loca!

Gracias, por lo que puedan hacer por mí ;)

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ ccApp Common Client User Session (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccapp.exe
+ InCD InCD (Not verified) Ahead Software AG c:\archivos de programa\ahead\incd\incd.exe
+ KAZAA File not found: C:\Archivos de programa\Kazaa Lite K++\kpp.exe
+ Microsoft System Suspend c:\windows\system32\suspend.exe
+ NeroCheck File not found: C:\WINDOWS\system32\NeroCheck.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Computer, Inc. c:\archivos de programa\quicktime\qttask.exe
+ roam dumb proc tool File not found: C:\Documents and Settings\All Users\Datos de programa\Glue bits roam dumb\Send Heart.exe
+ SoundMam File not found: C:\WINDOWS\system32\SVOHOST.exe
+ SunJavaUpdateSched Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.6.0_03\bin\jusched.exe
+ TkBellExe RealNetworks Scheduler (Not verified) RealNetworks, Inc. c:\archivos de programa\archivos comunes\real\update_ob\realsched.exe
+ vptray Symantec AntiVirus (Verified) Symantec Corporation c:\archivos de programa\symantec antivirus\vptray.exe
+ WinampAgent c:\archivos de programa\winamp\winampa.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ EPSON Background Monitor.lnk Background Monitoring (Not verified) SEIKO EPSON CORPORATION c:\archivos de programa\epson\esm2\stms.exe
+ Inicio rápido de Adobe Reader.lnk Adobe Acrobat SpeedLauncher (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe
+ Microsoft Office.lnk Microsoft Office 2000 component (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\osa9.exe
+ Software Kodak EasyShare.lnk KODAK EasyShare Software c:\archivos de programa\kodak\kodak easyshare software\bin\easyshare.exe
+ Ulead Photo Express 3.0 SE Calendar Checker.lnk Photo Express -- Calendar Checker (Not verified) Ulead Systems, Inc. c:\archivos de programa\ulead systems\ulead photo express 3.0 se\calcheck.exe
+ WinZip Quick Pick.lnk WinZip Executable (Not verified) WinZip Computing LP c:\archivos de programa\winzip\wzqkpick.exe
C:\Documents and Settings\LILY\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ ares Ares (Not verified) Ares Development Group c:\archivos de programa\ares\ares.exe
+ msnmsgr File not found: C:\Archivos de programa\MSN Messenger\msnmsgr.exe
+ Skype Skype. The whole world can talk for free. (Verified) Skype Technologies SA c:\archivos de programa\skype\phone\skype.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
+ ms-its51 Microsoft® InfoTech Storage System Library (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\itss51.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: http://sp5.fotologs.net/photo/5/52/48/eduardo_dexter_/1149657220_f.jpg
+ 1 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
+ cinnamomum File not found: CLSID\{93ac7c30-3878-4eaa-9420-7977285df5b1}\InprocServer32
+ furnariidae File not found: CLSID\{89e4aaba-3b21-49b3-b922-8ca35193c68e}\InprocServer32
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Carpetas Web c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ KodakShellExtension Shell Extension Resource DLL (Not verified) Eastman Kodak Company c:\archivos de programa\archivos comunes\kodak\ifscore\kodakshx.dll
+ LDVP Shell Extensions Symantec AntiVirus (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ssc\vpshell2.dll
+ Microsoft Office Binder Unbind Separador de documentos del Cuaderno de Microsoft Office (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\3082\unbind.dll
+ Microsoft Outlook Custom Icon Handler Microsoft Outlook Shell Hook for Start/Find (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\olkfstub.dll
+ OpenOffice.org/ZipGenius Shell Extension Context Menu for OO.org files (Not verified) M.Dev Software c:\archivos de programa\zipgenius 5\oodll.dll
+ Shell Extension for CDRW UDF Shell Extension DLL (Not verified) Ahead Software, Karlsbad, Germany c:\archivos de programa\ahead\incd\incdshx.dll
+ Shell Extensions for RealOne Player RealPlayer Shell Extensions (Not verified) RealNetworks, Inc. c:\archivos de programa\real\realplayer\rpshell.dll
+ Webroot Spy Sweeper Context Menu Integration File not found: C:\ARCHIV~1\Webroot\SPYSWE~1\SSCtxMnu.dll
+ WinRAR shell extension c:\archivos de programa\winrar\rarext.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ ZipGenius 5.5 DnD Extract handler Drag and drop dll (Not verified) M.Dev Software c:\archivos de programa\zipgenius 5\zgdragdrop.dll
+ ZipGenius Shell Extension Context Menu for zip files (Not verified) M.Dev Software c:\archivos de programa\zipgenius 5\contmenu.dll
+ ZipGenius Zip Drop handler ZG Drop Handler (Not verified) M.Dev Software c:\archivos de programa\zipgenius 5\drophandler.dll
+ ZipGenius Zip InfoTip c:\archivos de programa\zipgenius 5\zgtips.dll
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Adobe PDF Reader Link Helper Adobe Acrobat IE Helper Version 7.0 for ActiveX (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll
+ SSVHelper Class Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.6.0_03\bin\ssv.dll
+ {53707962-6F74-2D53-2644-206D7942484F} Bad download blocker (Verified) Safer Networking Ltd. c:\archivos de programa\spybot - search & destroy\sdhelper.dll
+ {D2DAC965-16F3-E102-6B5A-A11DD2138018} File not found: C:\DOCUME~1\JuanC\DATOSD~1\STARTS~1\Bird Wave.exe
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
+ A2BFAD109188297C.job File not found: c:\docume~1\juanc\datosd~1\clockd~1\Settings Amen Mix.exe
HKLM\System\CurrentControlSet\Services
+ ccEvtMgr Symantec Event Manager (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccevtmgr.exe
+ ccSetMgr Symantec Settings Manager (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsetmgr.exe
+ DefWatch Controla y mantiene las definiciones de virus. (Verified) Symantec Corporation c:\archivos de programa\symantec antivirus\defwatch.exe
+ EpsonBidirectionalService c:\archivos de programa\epson\esm2\eebsvc.exe
+ InCDsrv Helper service for the InCD filesystem driver (Not verified) AHEAD Software c:\archivos de programa\ahead\incd\incdsrv.exe
+ PowerManager Manages the power save features of the computer. File not found: C:\WINDOWS\svchost.exe
+ Symantec AntiVirus Ofrece análisis, informes y funciones de administración en tiempo real para Symantec AntiVirus. (Verified) Symantec Corporation c:\archivos de programa\symantec antivirus\rtvscan.exe
HKLM\System\CurrentControlSet\Services
+ AvFlt File not found: C:\WINDOWS\system32\drivers\av5flt.sys
+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys
+ CnxEtP Conexant USB WDM (Not verified) Conexant c:\windows\system32\drivers\cnxetp.sys
+ CnxEtU Conexant USB WDM (Not verified) Conexant c:\windows\system32\drivers\cnxetu.sys
+ CnxTgN NDIS 5.0 LAN driver for PCI ADSL adapter (Not verified) Conexant Systems Inc. c:\windows\system32\drivers\cnxtgn.sys
+ Defender File not found: C:\Archivos de programa\SinEspias\Defender.sys
+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
+ iAimTV2 File not found: System32\DRIVERS\wATV03nt.sys
+ InCDPass Ahead CD-RW Filter Driver (Not verified) Ahead Software c:\windows\system32\drivers\incdpass.sys
+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
+ NAVENG AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20071026.021\naveng.sys
+ NAVEX15 AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20071026.021\navex15.sys
+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
+ PxHelp20 Px Engine Device Driver for Windows 2000/XP (Not verified) Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys
+ SAVRT AutoProtect (Verified) Symantec Corporation c:\archivos de programa\symantec antivirus\savrt.sys
+ SAVRTPEL SAVRTPEL (Verified) Symantec Corporation c:\archivos de programa\symantec antivirus\savrtpel.sys
+ Secdrv SafeDisc driver c:\windows\system32\drivers\secdrv.sys
+ SSKBFD Spy Sweeper Keyboard Filter Driver (Not verified) Webroot Software Inc (www.webroot.com) c:\windows\system32\drivers\sskbfd.sys
+ SymEvent Symantec Event Library (Verified) Symantec Corporation c:\archivos de programa\symantec\symevent.sys
+ SYMREDRV Redirector Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symredrv.sys
+ SYMTDI Network Dispatch Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symtdi.sys
+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ NavLogon Symantec AntiVirus Logon Notification (Verified) Symantec Corporation c:\windows\system32\navlogon.dll
+ winstd32 File not found: winstd32.dll
+ WRNotifier Spy Sweeper Engine (Not verified) Webroot Software, Inc. c:\windows\system32\wrlogonntf.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ EPSON BiD Monitor1 EPSON Bidirectional Monitor (Not verified) SEIKO EPSON CORPORATION c:\windows\system32\ebpmon2.dll
+ EPSON BiD Monitor1(1) EPSON Bidirectional Monitor (Not verified) SEIKO EPSON CORPORATION c:\windows\system32\ebpmon2.dll
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order

31 de Octubre 2007 3:56 PM
MIRAMAR dijo:
YO DE NUEVO!

Este es el "reporte" o la actividad que encontré en Process Explorer, te agradecería si me pudieras indicar cuál es el proceso que debo finalizar, junto con el "autorun" que dejé en el mensaje anterior.

Gracias y disculpa lo desordenado de mis mensajes, pero estoy algo colapsada.

Process PID CPU Description Company Name
System Idle Process 0 83.33
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
SMSS.EXE 320 Administrador de sesión de Windows NT Microsoft Corporation
CSRSS.EXE 472 0.93 Client Server Runtime Process Microsoft Corporation
WINLOGON.EXE 504 Aplicación de inicio de sesión de Windows NT Microsoft Corporation
SERVICES.EXE 548 5.56 Aplicación de servicios y controlador Microsoft Corporation
SVCHOST.EXE 716 Generic Host Process for Win32 Services Microsoft Corporation
SVCHOST.EXE 760 Generic Host Process for Win32 Services Microsoft Corporation
MsMpEng.exe 864 Service Executable Microsoft Corporation
SVCHOST.EXE 904 Generic Host Process for Win32 Services Microsoft Corporation
wscntfy.exe 3064 Windows Security Center Notification App Microsoft Corporation
SVCHOST.EXE 992 Generic Host Process for Win32 Services Microsoft Corporation
SVCHOST.EXE 1040 Generic Host Process for Win32 Services Microsoft Corporation
ccSetMgr.exe 1092 Common Client Settings Manager Service Symantec Corporation
ccEvtMgr.exe 1124 Common Client Event Manager Service Symantec Corporation
SPOOLSV.EXE 1476 Spooler SubSystem App Microsoft Corporation
eEBSvc.exe 1824
DefWatch.exe 116 Virus Definition Daemon Symantec Corporation
INCDSRV.EXE 176 incdsrv AHEAD Software
SVCHOST.EXE 1196 Generic Host Process for Win32 Services Microsoft Corporation
Rtvscan.exe 1280 Symantec AntiVirus Symantec Corporation
alg.exe 3204 Application Layer Gateway Service Microsoft Corporation
LSASS.EXE 560 LSA Shell (Export Version) Microsoft Corporation
EXPLORER.EXE 1800 Explorador de Windows Microsoft Corporation
InCD.exe 348 InCD Ahead Software AG
QTTASK.EXE 360 QuickTime Task Apple Computer, Inc.
realsched.exe 372 RealNetworks Scheduler RealNetworks, Inc.
WINAMPA.EXE 388
ccApp.exe 436 Common Client User Session Symantec Corporation
VPTray.exe 328 Symantec AntiVirus Symantec Corporation
MSASCui.exe 284 Windows Defender User Interface Microsoft Corporation
JUSCHED.EXE 456 Java(TM) Platform SE binary Sun Microsystems, Inc.
CTFMON.EXE 724 CTF Loader Microsoft Corporation
Ares.exe 1148 1.85 Ares Ares Development Group
Skype.exe 1192 2.78 Skype. The whole world can talk for free. Skype Technologies S.A.
EasyShare.exe 1320 KODAK EasyShare Software
WZQKPICK.EXE 1352 WinZip Executable WinZip Computing LP
CalCheck.exe 1360 Photo Express -- Calendar Checker Ulead Systems, Inc.
firefox.exe 3760 3.70 Firefox Mozilla Corporation
WINZIP32.EXE 3948 WinZip WinZip Computing LP
procexp.exe 4044 1.85 Sysinternals Process Explorer Sysinternals
Notepad.exe 3788 Bloc de notas Microsoft Corporation
autoruns.exe 3004 Autostart program viewer Sysinternals - www.sysinternals.com

31 de Octubre 2007 4:03 PM
Jose dijo:

Qué tal, maestro, estoy tratando de eliminar el virus del msn, fecebook.zip o como sea. Hice todos los pasos del post del autorun, acá te paso el informe:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ InCD InCD (Not verified) Nero AG c:\archivos de programa\ahead\incd\incd.exe
+ Ink Monitor Ink Monitor (Not verified) Epson c:\archivos de programa\epson\ink monitor\inkmonitor.exe
+ McAfeeUpdaterUI Common User Interface (Not verified) Network Associates, Inc. c:\archivos de programa\network associates\common framework\updaterui.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ Network Associates Error Reporting Service TalkBack Monitor (Not verified) Network Associates, Inc. c:\archivos de programa\archivos comunes\network associates\talkback\tbmon.exe
+ QuickTime Task (Not verified) Apple Computer, Inc. c:\archivos de programa\quicktime\qttask.exe
+ RaidTool File not found: C:\Archivos de programa\VIA\RAID\raid_to
+ RemoteControl PowerDVD RC Service (Not verified) Cyberlink Corp. c:\archivos de programa\cyberlink dvd solution\powerdvd\pdvdserv.exe
+ ShStatEXE On-access scanner statistics (Not verified) Network Associates, Inc. c:\archivos de programa\network associates\virusscan\shstat.exe
+ snpstd3 CameraMonitor Application (Not verified) Sonix c:\windows\vsnpstd3.exe
+ Sony Ericsson PC Suite Application Launcher c:\archivos de programa\sony ericsson\mobile2\application launcher\application launcher.exe
+ SoundMAX Audio Control Panel (Not verified) Analog Devices, Inc. c:\archivos de programa\analog devices\soundmax\smax4.exe
+ SoundMAXPnP SMax4PNP (Not verified) Analog Devices, Inc. c:\archivos de programa\analog devices\core\smax4pnp.exe
+ SpeedTouch USB Diagnostics SpeedTouch Statistics (Not verified) THOMSON Telecom Belgium c:\archivos de programa\thomson\dragdiag.exe
+ Windows Defender c:\windows\system32\defender.exe

Necesitaría que me digas qué es lo que tengo que hacer ahora.
Vos me indicás cuál es el problema y lo elimino desde autorun?
Desde ya, mil millones de gracias,
Jose

31 de Octubre 2007 4:52 PM
JessyJE dijo:
virus facebook.zip

POR FAVOR AYUDA CON ESTE MALDITO VIRUS QUE NO ME DEJA CONECTAR POR QUE SE REENVIA A MAS NO PODER A MIS AMIGOS GRACIAS AQUI DEJO MI REPORTE


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ !AVG Anti-Spyware AVG Anti-Spyware (Verified) GRISOFT LTD c:\archivos de programa\grisoft\avg anti-spyware 7.5\avgas.exe
+ Adobe Reader Speed Launcher Adobe Acrobat SpeedLauncher (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\reader 8.0\reader\reader_sl.exe
+ ATIPTA ATI Desktop Control Panel (Not verified) ATI Technologies, Inc. c:\archivos de programa\ati technologies\ati control panel\atiptaxx.exe
+ CloneCDTray CloneCD Tray (Not verified) SlySoft, Inc. c:\archivos de programa\slysoft\clonecd\clonecdtray.exe
+ EPSON Stylus C63 Series File not found: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4C1.EXE
+ HP Software Update Hewlett-Packard Product Assistant (Not verified) Hewlett-Packard Co. c:\archivos de programa\hp\hp software update\hpwuschd2.exe
+ ISUSPM Startup InstallShield Update Service Update Manager (Not verified) Macrovision Corporation c:\archivos de programa\archivos comunes\installshield\updateservice\isuspm.exe
+ ISUSScheduler InstallShield Update Service Scheduler (Not verified) Macrovision Corporation c:\archivos de programa\archivos comunes\installshield\updateservice\issch.exe
+ iTunesHelper iTunesHelper Module (Verified) Apple Computer, Inc. c:\archivos de programa\itunes\ituneshelper.exe
+ LanguageShortcut Language Application (Verified) CyberLink c:\archivos de programa\cyberlink\powerdvd\language\language.exe
+ Microsoft Font c:\windows\system32\msfont.exe
+ NeroFilterCheck NeroCheck (Not verified) Nero AG c:\archivos de programa\archivos comunes\ahead\lib\nerocheck.exe
+ PCSuiteTrayApplication PC Suite (Not verified) Nokia c:\archivos de programa\nokia\nokia pc suite 6\launchapplication.exe
+ PRISMSVR.EXE File not found: C:\WINDOWS\system32\PRISMSVR.EXE
+ QuickTime Task QuickTime Task (Not verified) Apple Inc. c:\archivos de programa\quicktime\qttask.exe
+ RemoteControl PowerDVD RC Service (Verified) CyberLink c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe
+ SunJavaUpdateSched Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.6.0_03\bin\jusched.exe
+ Syslog (Not verified) Zarteck c:\crsvc.exe
+ VirtualCloneDrive Virtual CloneDrive Daemon (Not verified) Elaborate Bytes AG c:\archivos de programa\elaborate bytes\virtualclonedrive\vcddaemon.exe

31 de Octubre 2007 6:41 PM
Mixel Adm Author Profile Page dijo:

@Miramar
Tu sospechoso es el siguiente ;)
MsMpEng.exe 864 Service Executable Microsoft Corporation


@JessyJE
muy posiblemente:
Microsoft Font c:\windows\system32\msfont.exe
De este no estoy seguro, pero puede ser otro bicho más...
Syslog (Not verified) Zarteck c:\crsvc.exe

@Jose

si no tienes instalado el windows defender este es tu objetivo
+ Windows Defender c:\windows\system32\defender.exe
si no la verdad es qeu no veo que otro proceso pueda ser..

31 de Octubre 2007 7:02 PM
MIRAMAR dijo:
OK... ENTONCES...?

Primero que todo, gracias por responder tan rapidamente.
Ahora, como soy media lenta para estas cosas quisiera saber qué hago con el "sospechoso", será que debo: "Usa process explorer para terminar el proceso y autoruns para eliminar la entrada"

MsMpEng.exe 864 Service Executable Microsoft Corporation

GRACIAS!

31 de Octubre 2007 8:27 PM
CESARDEATH dijo:
SOLUCION!!!!

ESTA ES LA SOLUCION!!!
image_0016.jpeg-www.facebook.com

Primero lo que tienes que hacer es descatgar este programa que se encargara
de detectar este gusano
http://info.prevx.com/download.asp?grab=prevxcsi (bajar de este link)

despues de que lo bajas analizas y el encontrara la aplicacion, osea el gusano.
En mi caso fue el suspend.exe (creo que puede variar, para eso es el programa)

Ahora haz lo siguiente:

OJO EN MI CASO FUE EL SUSPEND.EXE; PUEDE QUE EN TU CASO SE LLAME DIFERENTE (SABRAS COMO SE LLAMA AL ANALIZAR TU PC CON EL PREVXCSIFREE)

-Administrador de tareas
suspend.exe--> terminar proceso

-Ir a Windows\system32, buscar y eliminar suspend.exe

Inicio- ejecutar--> regedit
edicion-buscar...--> suspend.exe (eliminar del registro)

esta es la cura para eliminar este maldito gusano de mierda...

By CesarDeath

2 de Noviembre 2007 9:45 PM
carla dijo:
ayuda!!!!!!!

Se ha detectado infección con (Troyano) Win32/IRCBot en la memoria operativa. La infección en la memoria operativa ha sido originada en el archivo C:\WINDOWS2\system32\defender.exe.
Necesito que alguien me diga que tendo que hacer!!!!!

4 de Noviembre 2007 9:01 AM
juanma dijo:
Gracias

gracias al comentario de prevx lo pude eliminar... en mi caso el ejecutable se llamaba settings.exe...

gracias estaba desesperado

22 de Noviembre 2007 8:40 PM
riso dijo:
Pase el autorun... ahora que hago?

ESTE ES EL REPORTE DEL AUTORUN

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ Adobe Reader Speed Launcher Adobe Acrobat SpeedLauncher (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\reader 8.0\reader\reader_sl.exe
+ Broadcom Wireless Manager UI Dell Wireless WLAN Card Wireless Network Tray Applet (Not verified) Dell Inc. c:\windows\system32\wltray.exe
+ ccApp Symantec User Session (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccapp.exe
+ HP Software Update Hewlett-Packard Product Assistant (Not verified) Hewlett-Packard Development Company, L.P. c:\archivos de programa\hp\hp software update\hpwuschd2.exe
+ MessengerPlus3 Messenger Plus! (Verified) Patchou c:\archivos de programa\messengerplus! 3\msgplus.exe
+ nwiz NVIDIA nView Wizard, Version 67.42 (Not verified) NVIDIA Corporation c:\windows\system32\nwiz.exe
+ Symantec PIF AlertEng LiveUpdate Notice Service (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\pif\{b8e1dd85-8582-4c61-b58f-2f227fca9a08}\pifsvc.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users.WINDOWS\Menú Inicio\Programas\Inicio
+ HP Digital Imaging Monitor.lnk HP Digital Imaging Monitor (Not verified) Hewlett-Packard Development Company, L.P. c:\archivos de programa\hp\digital imaging\bin\hpqtra08.exe
C:\Documents and Settings\Frank León-Ponte\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ AdobeUpdater Adobe Updater (Verified) Adobe Systems Incorporated c:\archivos de programa\archivos comunes\adobe\updater5\adobeupdater.exe
+ googletalk Google Talk (Not verified) Google c:\archivos de programa\google\google talk\googletalk.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
+ application/octet-stream Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-complus Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-msdownload Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
HKLM\SOFTWARE\Classes\Protocols\Handler
+ cdo Microsoft SharePoint Portal Server Object Model (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\web folders\pkmcdo.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
+ n/a Microsoft .NET IE SECURITY REGISTRATION (Not verified) Microsoft Corporation c:\windows\system32\mscories.dll
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Carpetas Web Microsoft Web Folders (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll
+ Desktop Explorer NVIDIA Desktop Explorer, Version 67.42 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Desktop Explorer Menu NVIDIA Desktop Explorer, Version 67.42 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ nView Desktop Context Menu NVIDIA Desktop Explorer, Version 67.42 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Shell Icon Handler for Application References Application Deployment Support Library (Not verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ ShellLink for Application References Application Deployment Support Library (Not verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\archivos comunes\adobe\acrobat\activex\pdfshell.dll
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Aplicación auxiliar de vínculos de Adobe PDF Reader Adobe PDF Helper for Internet Explorer (Verified) Adobe Systems, Incorporated c:\archivos de programa\archivos comunes\adobe\acrobat\activex\acroiehelper.dll
+ Google Toolbar Helper Google IE Client Toolbar (Verified) Google Inc c:\archivos de programa\google\googletoolbar2.dll
+ Google Toolbar Notifier BHO GoogleToolbarNotifier (Verified) Google Inc c:\archivos de programa\google\googletoolbarnotifier\2.0.301.7164\swg.dll
+ {1E8A6170-7264-4D0F-BEAE-D42A53123C75} NcoBHO (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\coshared\browser\1.5\nppbho.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
+ googletoolbar2.dll Google IE Client Toolbar (Verified) Google Inc c:\archivos de programa\google\googletoolbar2.dll
+ NCO Toolbar UIBhoImpl (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\coshared\browser\1.5\uibho.dll
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
+ Comprobar actualizaciones de Windows Live Toolbar.job MSN Search Toolbar Scheduled Update Utility (Not verified) Microsoft Corporation c:\archivos de programa\windows live toolbar\msntbup.exe
HKLM\System\CurrentControlSet\Services
+ ccEvtMgr Event propagation and logging service (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsvchst.exe
+ ccSetMgr Settings storage and management service (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsvchst.exe
+ CLTNetCnService Symantec Lic NetConnect Service (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsvchst.exe
+ LiveUpdate Notice Ex Manages Norton product notices. (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsvchst.exe
+ LiveUpdate Notice Service Manages Norton product notices (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\pif\{b8e1dd85-8582-4c61-b58f-2f227fca9a08}\pifsvc.exe
+ matlabserver c:\matlab6p5\webserver\bin\win32\matlabserver.exe
+ wltrysvc Provides automatic configuration for the 802.11 adapter using the Broadcom supplicant. c:\windows\system32\wltrysvc.exe
HKLM\System\CurrentControlSet\Services
+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys
+ eeCtrl Symantec Eraser Control Driver (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\eengine\eectrl.sys
+ EraserUtilRebootDrv Symantec Eraser Utility Driver (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\eengine\eraserutilrebootdrv.sys
+ GEARAspiWDM CD/DVD Class Filter Driver (Verified) GEAR Software Inc. c:\windows\system32\drivers\gearaspiwdm.sys
+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
+ NAVENG AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20071126.002\naveng.sys
+ NAVEX15 AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20071126.002\navex15.sys
+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
+ PxHelp20 Px Engine Device Driver for Windows 2000/XP (Not verified) Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys
+ SPBBCDrv SPBBC Driver (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\spbbc\spbbcdrv.sys
+ SRTSP Symantec AutoProtect (Verified) Symantec Corporation c:\windows\system32\drivers\srtsp.sys
+ SRTSPL Symantec AutoProtect (Verified) Symantec Corporation c:\windows\system32\drivers\srtspl.sys
+ SRTSPX Symantec AutoProtect (Verified) Symantec Corporation c:\windows\system32\drivers\srtspx.sys
+ SYMDNS DNS Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symdns.sys
+ SymEvent Symantec Event Library (Verified) Symantec Corporation c:\windows\system32\drivers\symevent.sys
+ SYMFW Firewall Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symfw.sys
+ SYMIDS IDS Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symids.sys
+ SYMIDSCO IDS Core Driver (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\symcdata\idsdefs\20071122.001\symidsco.sys
+ SYMNDIS NDIS Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symndis.sys
+ SYMREDRV Redirector Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symredrv.sys
+ SYMTDI Network Dispatch Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symtdi.sys
+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
+ MsgPlusLoader.dll Messenger Plus! Process Monitor (Verified) Patchou c:\windows\system32\msgplusloader.dll
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ HP Standard TCP/IP Port Standard TCP/IP Port Monitor DLL (Not verified) Hewlett Packard c:\windows\system32\hptcpmon.dll
+ Lexmark Enhanced TCP/IP Port Printer Communication System c:\windows\system32\lmablmpm.dll
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
+ BCMLogon Dell Wireless WLAN Card Logon Provider (Not verified) Broadcom Corporation c:\windows\system32\bcmlogon.dll

27 de Noviembre 2007 9:24 AM
RISO dijo:
AYUDAA

hola tengo un serio problema tengo el virus de facebook en 2 computadoras de la oficina y ya no se como hacer para eliminarlos, estuve leyendo y baje el autorun ya lo hice, y me dio el siguiente reporte:


HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ Adobe Reader Speed Launcher Adobe Acrobat SpeedLauncher (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\reader 8.0\reader\reader_sl.exe
+ Broadcom Wireless Manager UI Dell Wireless WLAN Card Wireless Network Tray Applet (Not verified) Dell Inc. c:\windows\system32\wltray.exe
+ ccApp Symantec User Session (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccapp.exe
+ HP Software Update Hewlett-Packard Product Assistant (Not verified) Hewlett-Packard Development Company, L.P. c:\archivos de programa\hp\hp software update\hpwuschd2.exe
+ MessengerPlus3 Messenger Plus! (Verified) Patchou c:\archivos de programa\messengerplus! 3\msgplus.exe
+ nwiz NVIDIA nView Wizard, Version 67.42 (Not verified) NVIDIA Corporation c:\windows\system32\nwiz.exe
+ Symantec PIF AlertEng LiveUpdate Notice Service (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\pif\{b8e1dd85-8582-4c61-b58f-2f227fca9a08}\pifsvc.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users.WINDOWS\Menú Inicio\Programas\Inicio
+ HP Digital Imaging Monitor.lnk HP Digital Imaging Monitor (Not verified) Hewlett-Packard Development Company, L.P. c:\archivos de programa\hp\digital imaging\bin\hpqtra08.exe
C:\Documents and Settings\Frank León-Ponte\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ AdobeUpdater Adobe Updater (Verified) Adobe Systems Incorporated c:\archivos de programa\archivos comunes\adobe\updater5\adobeupdater.exe
+ googletalk Google Talk (Not verified) Google c:\archivos de programa\google\google talk\googletalk.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
+ application/octet-stream Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-complus Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-msdownload Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
HKLM\SOFTWARE\Classes\Protocols\Handler
+ cdo Microsoft SharePoint Portal Server Object Model (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\web folders\pkmcdo.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
+ n/a Microsoft .NET IE SECURITY REGISTRATION (Not verified) Microsoft Corporation c:\windows\system32\mscories.dll
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Carpetas Web Microsoft Web Folders (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll
+ Desktop Explorer NVIDIA Desktop Explorer, Version 67.42 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Desktop Explorer Menu NVIDIA Desktop Explorer, Version 67.42 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ nView Desktop Context Menu NVIDIA Desktop Explorer, Version 67.42 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Shell Icon Handler for Application References Application Deployment Support Library (Not verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ ShellLink for Application References Application Deployment Support Library (Not verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\archivos comunes\adobe\acrobat\activex\pdfshell.dll
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Aplicación auxiliar de vínculos de Adobe PDF Reader Adobe PDF Helper for Internet Explorer (Verified) Adobe Systems, Incorporated c:\archivos de programa\archivos comunes\adobe\acrobat\activex\acroiehelper.dll
+ Google Toolbar Helper Google IE Client Toolbar (Verified) Google Inc c:\archivos de programa\google\googletoolbar2.dll
+ Google Toolbar Notifier BHO GoogleToolbarNotifier (Verified) Google Inc c:\archivos de programa\google\googletoolbarnotifier\2.0.301.7164\swg.dll
+ {1E8A6170-7264-4D0F-BEAE-D42A53123C75} NcoBHO (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\coshared\browser\1.5\nppbho.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
+ googletoolbar2.dll Google IE Client Toolbar (Verified) Google Inc c:\archivos de programa\google\googletoolbar2.dll
+ NCO Toolbar UIBhoImpl (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\coshared\browser\1.5\uibho.dll
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
+ Comprobar actualizaciones de Windows Live Toolbar.job MSN Search Toolbar Scheduled Update Utility (Not verified) Microsoft Corporation c:\archivos de programa\windows live toolbar\msntbup.exe
HKLM\System\CurrentControlSet\Services
+ ccEvtMgr Event propagation and logging service (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsvchst.exe
+ ccSetMgr Settings storage and management service (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsvchst.exe
+ CLTNetCnService Symantec Lic NetConnect Service (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsvchst.exe
+ LiveUpdate Notice Ex Manages Norton product notices. (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsvchst.exe
+ LiveUpdate Notice Service Manages Norton product notices (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\pif\{b8e1dd85-8582-4c61-b58f-2f227fca9a08}\pifsvc.exe
+ matlabserver c:\matlab6p5\webserver\bin\win32\matlabserver.exe
+ wltrysvc Provides automatic configuration for the 802.11 adapter using the Broadcom supplicant. c:\windows\system32\wltrysvc.exe
HKLM\System\CurrentControlSet\Services
+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys
+ eeCtrl Symantec Eraser Control Driver (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\eengine\eectrl.sys
+ EraserUtilRebootDrv Symantec Eraser Utility Driver (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\eengine\eraserutilrebootdrv.sys
+ GEARAspiWDM CD/DVD Class Filter Driver (Verified) GEAR Software Inc. c:\windows\system32\drivers\gearaspiwdm.sys
+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
+ NAVENG AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20071126.002\naveng.sys
+ NAVEX15 AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20071126.002\navex15.sys
+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
+ PxHelp20 Px Engine Device Driver for Windows 2000/XP (Not verified) Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys
+ SPBBCDrv SPBBC Driver (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\spbbc\spbbcdrv.sys
+ SRTSP Symantec AutoProtect (Verified) Symantec Corporation c:\windows\system32\drivers\srtsp.sys
+ SRTSPL Symantec AutoProtect (Verified) Symantec Corporation c:\windows\system32\drivers\srtspl.sys
+ SRTSPX Symantec AutoProtect (Verified) Symantec Corporation c:\windows\system32\drivers\srtspx.sys
+ SYMDNS DNS Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symdns.sys
+ SymEvent Symantec Event Library (Verified) Symantec Corporation c:\windows\system32\drivers\symevent.sys
+ SYMFW Firewall Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symfw.sys
+ SYMIDS IDS Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symids.sys
+ SYMIDSCO IDS Core Driver (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\symcdata\idsdefs\20071122.001\symidsco.sys
+ SYMNDIS NDIS Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symndis.sys
+ SYMREDRV Redirector Filter Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symredrv.sys
+ SYMTDI Network Dispatch Driver (Verified) Symantec Corporation c:\windows\system32\drivers\symtdi.sys
+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
+ MsgPlusLoader.dll Messenger Plus! Process Monitor (Verified) Patchou c:\windows\system32\msgplusloader.dll
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ HP Standard TCP/IP Port Standard TCP/IP Port Monitor DLL (Not verified) Hewlett Packard c:\windows\system32\hptcpmon.dll
+ Lexmark Enhanced TCP/IP Port Printer Communication System c:\windows\system32\lmablmpm.dll
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
+ BCMLogon Dell Wireless WLAN Card Logon Provider (Not verified) Broadcom Corporation c:\windows\system32\bcmlogon.dll


Por favor necesito ayuda.... gracias

28 de Noviembre 2007 8:49 AM
frank dijo:
holaaa

hola, necesito ayuda con esa cosa aki esta mi reporte
gracias de antemano

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ close surf mail dupe c:\documents and settings\all users\datos de programa\tick find close surf\four manager.exe
+ Ink Monitor Ink Monitor by Bill Pytlovany (Not verified) BillP Studios c:\archivos de programa\epson\ink monitor\inkmonitor.exe
+ nod32kui NOD32 Control Center GUI (Not verified) Eset c:\archivos de programa\eset\nod32kui.exe
+ SunJavaUpdateSched c:\archivos de programa\java\j2re1.4.2_04\bin\jusched.exe
+ Windows Memory Sharing c:\windows\system32\memshare.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ hp psc 1000 series.lnk HP OfficeJet COM Device Objects (Not verified) Hewlett-Packard Co. c:\archivos de programa\hewlett-packard\digital imaging\bin\hpohmr08.exe
+ hpoddt01.exe.lnk hpotdd01 (Not verified) Hewlett-Packard c:\archivos de programa\hewlett-packard\digital imaging\bin\hpotdd01.exe
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ AntiBias c:\documents and settings\administrador\datos de programa\audiowindowdale\copy proc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
+ ms-itss Microsoft® InfoTech Storage System Library (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
+ NOD32 Context Menu Shell Extension c:\archivos de programa\eset\nodshex.dll
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers
+ NOD32 Context Menu Shell Extension c:\archivos de programa\eset\nodshex.dll
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\archivos comunes\adobe\acrobat\activex\pdfshell.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ NOD32 Context Menu Shell Extension c:\archivos de programa\eset\nodshex.dll
+ WinRAR shell extension c:\archivos de programa\winrar\rarext.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Aplicación auxiliar de vínculos de Adobe PDF Reader Adobe PDF Helper for Internet Explorer (Verified) Adobe Systems, Incorporated c:\archivos de programa\archivos comunes\adobe\acrobat\activex\acroiehelper.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
+ AE5E739A9185E436.job c:\documents and settings\administrador\datos de programa\audiowindowdale\media curb amen.exe
+ FRU Task #Hewlett-Packard#hp psc 1200 series#1185571543.job FRU-Client MFC Application c:\archivos de programa\hewlett-packard\digital imaging\bin\hpqfrucl.exe
+ WebReg 20070729182814.job WebReg application (Not verified) Hewlett-Packard Co. c:\archivos de programa\hewlett-packard\digital imaging\bin\hpqwrg.exe
HKLM\System\CurrentControlSet\Services
+ NOD32krn NOD32 Kernel Service (Not verified) Eset c:\archivos de programa\eset\nod32krn.exe
+ UStorage Server Service OTi Content Service (Not verified) OTi c:\windows\system32\ustorsrv.exe
HKLM\System\CurrentControlSet\Services
+ AMON Amon monitor (Not verified) Eset c:\windows\system32\drivers\amon.sys
+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys
+ Eplpdx02 LPT I/O driver for EPSON PRINTER (Not verified) MK Systems CO., LTD. c:\windows\system32\drivers\eplpdx02.sys
+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
+ usbsermpt USB Modem Driver (Not verified) Microsoft Corporation c:\windows\system32\drivers\usbsermpt.sys
+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ autocheck autochk * Programa de comprobación automática (Not verified) Microsoft Corporation c:\windows\system32\autochk.exe
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
+ NOD32 NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [RAW/IP]] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [TCP/IP]] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [UDP/IP]] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [RSVP TCP Service Provider] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [RSVP UDP Service Provider] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ EPSON Printer Port Eplpmx02 Epson Printer Monitor for Windows2000 (Not verified) MK Systems CO.,LTD. c:\windows\system32\eplpmx02.dll
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
+ NWCWorkstation Red NetWare o compatible (Not verified) Microsoft Corporation c:\windows\system32\nwprovau.dll

14 de Enero 2008 1:41 PM
Mixel Adm Author Profile Page dijo:
Respuesta

Hola frank esta es la entrada que deberas de eliminar, junto con el mentado archivo en memoria y en disco duro.

+ Windows Memory Sharing c:\windows\system32\memshare.exe

PD. perdon por la tardanza, pero me habia retirado un tiempo del blog.

16 de Enero 2008 9:06 PM
te mando mi reporte dijo:
ayuda


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ Adobe Reader Speed Launcher Adobe Acrobat SpeedLauncher (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\reader 8.0\reader\reader_sl.exe
+ HEProtect HSockPE (Not verified) HAURI c:\archivos de programa\hauri\virobot desktop 5.5\antispam\hsockpe.exe
+ ISUSPM Startup InstallShield Update Service Update Manager (Not verified) Macrovision Corporation c:\archivos de programa\archivos comunes\installshield\updateservice\isuspm.exe
+ ISUSScheduler InstallShield Update Service Scheduler (Not verified) Macrovision Corporation c:\archivos de programa\archivos comunes\installshield\updateservice\issch.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Inc. c:\archivos de programa\quicktime\qttask.exe
+ SunJavaUpdateSched Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.6.0_03\bin\jusched.exe
+ Vrmon vrmonnt (Not verified) HAURI c:\archivos de programa\hauri\common\base\vrmonnt.exe
+ VrSchedule HrRes (Not verified) HAURI c:\archivos de programa\hauri\virobot desktop 5.5\antivirus\hrres.exe
+ Windows Memory Sharing c:\windows\system32\memshare.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ Microsoft Office.lnk Microsoft Office 2000 component (Not verified) Microsoft Corporation c:\archivos de programa\microsoft office\office\osa9.exe
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio
+ CivilCAD 2007 para AutoCAD 2004-2006 - Auto Update.lnk QSetup SFX Kernel (Not verified) Pantaray Research LTD. c:\civilcad 2007 para autocad 2004-2006\actualcivilcad2004-2007f.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ SpyBrowser File not found: C:\Archivos de programa\SpyBro\SpyBro.exe

21 de Enero 2008 1:06 PM
Mixel Adm Author Profile Page dijo:
RE: Ayuda


He aquí tu culpable...
+ Windows Memory Sharing c:\windows\system32\memshare.exe

Elimina el proceso de memoria, luego la entrada y por último dale aire al archivo en disco.

Saludos

21 de Enero 2008 1:14 PM
Anonymous dijo:
RE: ayuda

gracias procedo
pero me queda la duda de que puede cambiar nombre el archivo

21 de Enero 2008 1:25 PM
Mixel Adm Author Profile Page dijo:

Hola Anónimo

mi no comprender tu respuesta......

pero me queda la duda de que puede cambiar nombre el archivo???' me mlo puedes traducir al español please ;) (de preferencia al mexicano)

Saludos

21 de Enero 2008 5:02 PM
refill dijo:
ayuda con facebook

Hola necesito ayuda con el virus de facebook, te mando mi registro de autoruns.
gracias de antemano


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ Acrobat Assistant 7.0 AcroTray (Not verified) Adobe Systems Inc. c:\archivos de programa\adobe\adobe acrobat 7.0\distillr\acrotray.exe
+ Adobe Version Cue CS2 Adobe Version Cue CS2 (Not verified) Adobe Sytems Incorporated c:\archivos de programa\adobe\adobe version cue cs2\controlpanel\versioncuecs2tray.exe
+ Apple_KbdMgr Boot Camp Manager (Not verified) Apple Inc. c:\archivos de programa\apple keyboard support\kbdmgr.exe
+ ATIPTA ATI Desktop Control Panel (Not verified) ATI Technologies, Inc. c:\archivos de programa\ati technologies\ati control panel\atiptaxx.exe
+ AVP Kaspersky Anti-Virus (Verified) Kaspersky Lab c:\archivos de programa\kaspersky lab\kaspersky anti-virus 7.0\avp.exe
+ Brightness Brightness (Verified) Apple Computer, Inc. c:\windows\system32\brightness.exe
+ PrevxCSI Prevx Computer Security Investigator (Not verified) Prevx c:\archivos de programa\prevxcsi\prevxcsi.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Computer, Inc. c:\archivos de programa\quicktime\qttask.exe
+ SigmatelSysTrayApp File not found: sttray.exe
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ Adobe Gamma.lnk Adobe Gamma Loader (Not verified) Adobe Systems, Inc. c:\archivos de programa\archivos comunes\adobe\calibration\adobe gamma loader.