Iexplorer.exe virus PLS revisión secuestro de registro

nitingaur · #1 21a-sep-2008, 12:02

'Log' de Trend Micro HijackThis V2.0.2
Escanear guardado en 12:01:37 PM, en 9/21/2008
Plataforma: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer V6.00 SP2 (6.00.2900.2180)
Modo de arranque: Normal
Procesos que se están ejecutando:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Csrss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ S24EvMon.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccSetMgr.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccEvtMgr.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ Archivos de programa \ Lavasoft \ Ad-Aware \ aawservice.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Centenn.ial \ Auditoría \ CAgent32.exe
C: \ Centenn.ial \ Auditoría \ xferwan.exe
C: \ Archivos de programa \ cliente VPN de Cisco \ cvpnd.exe
C: \ Archivos de programa \ Symantec AntiVirus \ DefWatch.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ EvtEng.exe
C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ VS7DEBUG \ Mdm.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ RegSrvc.exe
C: \ Archivos de programa \ Symantec AntiVirus \ SavRoam.exe
C: \ Archivos de programa \ Symantec AntiVirus \ Rtvscan.exe
C: \ Archivos de programa \ Archivos comunes \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ WINDOWS \ System32 \ TPHDEXLG.exe
C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ tvtsched.exe
c: \ _integra \ bin \ ccmagent.exe
c: \ archivos de programa \ Lenovo \ system update \ suservice.exe
C: \ WINDOWS \ System32 \ alg.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ WINDOWS \ system32 \ calc.exe
c: \ _integra \ bin \ shstart.exe
C: \ WINDOWS \ Explorer.EXE
C: \ WINDOWS \ system32 \ tp4mon.exe
C: \ WINDOWS \ system32 \ igfxtray.exe
C: \ WINDOWS \ system32 \ hkcmd.exe
C: \ WINDOWS \ system32 \ igfxpers.exe
C: \ WINDOWS \ system32 \ NWTRAY.EXE
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccApp.exe
C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ Archivos de programa \ Lenovo \ de HotKey \ TPOSDSVC.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
C: \ WINDOWS \ system32 \ TpShocks.exe
C: \ Archivos de programa \ Lenovo \ de HotKey \ TPONSCR.exe
C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ scheduler_proxy.exe
C: \ Archivos de programa \ Lenovo \ Zoom \ TpScrex.exe
C: \ Archivos de programa \ Archivos comunes \ Real \ Update_OB \ realsched.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Archivos de programa \ Yahoo! \ Messenger \ ymsgr_tray.exe
C: \ WINDOWS \ system32 \ Taskmgr.exe
C: \ Archivos de programa \ Internet Explorer \ iexplore.exe
C: \ Archivos de programa \ Internet Explorer \ iexplore.exe
C: \ Archivos de programa \ Internet Explorer \ IEXPLORE.EXE
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ WINDOWS \ system32 \ wbem \ wmiprvse.exe
C: \ Archivos de programa \ Trend Micro \ HijackThis \ HijackThis.exe
C: \ WINDOWS \ system32 \ wbem \ wmiprvse.exe
F2 - REG: system.ini: Userinit = c: \ windows \ system32 \ userinit.exe, c: \ _inte gra \ bin \ shstart.exe
O2 - BHO: AcroIEHlprObj Class - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Archivos de programa \ Adobe \ Acrobat 7.0 \ ActiveX \ AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - C: \ WINDOWS \ system32 \ dla \ tfswshx.dll
O4 - HKLM \ .. \ Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [Persistencia] C: \ WINDOWS \ system32 \ igfxpers.exe
O4 - HKLM \ .. \ Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [TPHOTKEY] C: \ Archivos de programa \ Lenovo \ de HotKey \ TPOSDSVC.exe
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Archivos de programa \ Archivos comunes \ Sonic \ Update Manager \ sgtray.exe" / r
O4 - HKLM \ .. \ Run: [dla] C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
O4 - HKLM \ .. \ Run: [EZEJMNAP] C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \ Run: [LPManager] C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \ Run: [TpShocks] TpShocks.exe
O4 - HKLM \ .. \ Run: [TVT Scheduler proxy] C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ scheduler_proxy.exe
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Archivos de programa \ Archivos comunes \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ Archivos de programa \ Yahoo! \ Messenger \ YahooMessenger.exe" silencioso
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Communicator] "C: \ Archivos de programa \ Microsoft Office Communicator \ Communicator.exe" (El usuario 'SERVICIO LOCAL')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Communicator] "C: \ Archivos de programa \ Microsoft Office Communicator \ Communicator.exe" (El usuario 'Servicio de red')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Communicator] "C: \ Archivos de programa \ Microsoft Office Communicator \ Communicator.exe" (El usuario "sistema")
O4 - HKUS \. DEFAULT \ .. \ Run: [Communicator] "C: \ Archivos de programa \ Microsoft Office Communicator \ Communicator.exe" (El usuario predeterminada de usuario ')
O8 - Extra menú contextual tema: E & xport a Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Extra botón: Investigación - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra botón: @ C: \ Archivos de programa \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Archivos de programa \ Messenger \ msmsgs.exe
O9 - Extra "Herramientas" menuitem: @ C: \ Archivos de programa \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Archivos de programa \ Messenger \ msmsgs.exe
O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (Trend Micro ActiveX exploración Agente 6,6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): Domain = keane.com
O23 - Servicio: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C: \ Archivos de programa \ Lavasoft \ Ad-Aware \ aawservice.exe
O23 - Servicio: Servicio de Gestión de Aplicaciones (AppMgSvc) - Desconocido propietario - C: \ Program.exe (archivo de desaparecidos)
O23 - Servicio: Servicio BHCP (BHsrv) - Desconocido propietario - C: \ Program.exe (archivo de desaparecidos)
O23 - Servicio: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccEvtMgr.exe
O23 - Servicio: Administrador de configuración de Symantec (ccSetMgr) - Symantec Corporation - C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccSetMgr.exe
O23 - Servicio: CentennialClientAgent - Centenario Software Limited - C: \ Centenn.ial \ Auditoría \ CAgent32.exe
O23 - Servicio: CentennialIPTransferAgent - Centenario Software Limited - C: \ Centenn.ial \ Auditoría \ xferwan.exe
O23 - Servicio: Servicio de actualización de cliente para Novell (cusrvc) - Novell, Inc. - C: \ WINDOWS \ system32 \ cusrvc.exe
O23 - Servicio: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C: \ Archivos de programa \ cliente VPN de Cisco \ cvpnd.exe
O23 - Servicio: Symantec AntiVirus Definición Watcher (DefWatch) - Symantec Corporation - C: \ Archivos de programa \ Symantec AntiVirus \ DefWatch.exe
O23 - Servicio: Intel (R) PROSet / Wireless Registro de sucesos (EvtEng) - Intel Corporation - C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ EvtEng.exe
O23 - Servicio: Servicio de ThinkPad PM (IBMPMSVC) - Lenovo - C: \ WINDOWS \ system32 \ ibmpmsvc.exe
O23 - Servicio: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Servicio: Intel (R) PROSet / Wireless Servicio de Registro (RegSrvc) - Intel Corporation - C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ RegSrvc.exe
O23 - Servicio: Intel (R) PROSet / Wireless Service (S24EventMonitor) - Intel Corporation - C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ S24EvMon.exe
O23 - Servicio: SAVRoam (SavRoam) - symantec - C: \ Archivos de programa \ Symantec AntiVirus \ SavRoam.exe
O23 - Servicio: los controladores de red de servicios de Symantec (SNDSrvc) - Symantec Corporation - C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ SNDSrvc.exe
O23 - Servicio: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
O23 - Servicio: Actualización del sistema (SUService) - Lenovo Group Limited - c: \ archivos de programa \ Lenovo \ system update \ suservice.exe
O23 - Servicio: Symantec AntiVirus - Symantec Corporation - C: \ Archivos de programa \ Symantec AntiVirus \ Rtvscan.exe
O23 - Servicio: Servicio de Supervisión de Registro ThinkVantage - Lenovo Group Limited - C: \ Archivos de programa \ Archivos comunes \ Lenovo \ tvt_reg_monitor_svc.exe
O23 - Servicio: ThinkPad HDD APS Servicio de registro (TPHDEXLGSVC) - Lenovo. - C: \ WINDOWS \ System32 \ TPHDEXLG.exe
O23 - Servicio: TVT Scheduler - Lenovo Group Limited - C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ tvtsched.exe
O23 - Servicio: Symantec LiveState agente para Windows (WControl) - Symantec Corporation - c: \ _integra \ bin \ ccmagent.exe
--
Fin de archivo - 8621 octetos

**evilfantasy** · #2 21a-sep-2008, 15:30

Descargar Malwarebytes' Anti-Malware (MBAM)

Haga doble clic en mbam-setup.exe y siga las instrucciones para instalar el programa.
Al final, asegúrese de que es una marca de verificación junto a las siguientes:
- Actualización Malwarebytes' Anti-Malware
- Lanzamiento Malwarebytes' Anti-Malware
A continuación, haga clic Finalizar.
Si se encuentra una actualización, se descargará e instalará la última versión.
Una vez que el programa ha cargado, seleccione Realizar análisis rápidoY, a continuación, haga clic en Escanear.
Cuando el análisis se ha completado, haga clic en Aceptar, Entonces Mostrar resultados para ver los resultados.
Asegúrese de que todo está marcada, y haga clic en Eliminar seleccionados.
Cuando se completa la desinfección, se abrirá un registro en el Bloc de notas y se le pedirá que Reiniciar. (Ver Nota extra)
El registro se guarda automáticamente por MBAM y se puede ver haciendo clic en la pestaña Registros MBAM.
Copiar y pegar todo el informe en su próxima respuesta.

Nota adicional: Si MBAM encuentra un archivo que es difícil de quitar, se le presentará con 1 de 2 anuncios, haga clic en Aceptar para bien y dejar MBAM adelante con el proceso de desinfección, si se le pide que reinicie el equipo, por favor, hágalo inmediatamente.

nitingaur · #3 21a-sep-2008, 18:18

N de malware encontrado, aquí está el informe
-------------------------------------------------- ----
5/1/2600 Windows Service Pack 2
9/21/2008 6:16:07 PM
mbam-log-2008-09-21 (18-16-07). txt
Tipo de exploración: Quick Scan
Objetos escaneados: 52621
Tiempo transcurrido: 4 minuto (s), 41 segundo (s)
Procesos de memoria infectados: 0
Módulos de memoria infectados: 0
Claves de registro infectadas: 0
Valores del Registro Infectados: 0
Registro de datos artículos infectados: 0
Carpetas infectados: 0
Archivos infectados: 0
Procesos de memoria infectados:
(No hay elementos maliciosos detectados)
Módulos de memoria infectados:
(No hay elementos maliciosos detectados)
Claves de registro infectadas:
(No hay elementos maliciosos detectados)
Valores del Registro Infectados:
(No hay elementos maliciosos detectados)
Elementos de Datos del Registro Infectados:
(No hay elementos maliciosos detectados)
Carpetas infectadas:
(No hay elementos maliciosos detectados)
Archivos infectados:
(No hay elementos maliciosos detectados)

**evilfantasy** · #4 21a-sep-2008, 18:40

No hay ninguna muestra de malware, ya sea en el registro.

¿Qué está sucediendo exactamente?

nitingaur · #5 21a-sep-2008, 19:23

Proceso son múltiples iexplorer.exe spwaning en proceso de lista. Inmediatamente aparecerá si matarlos uno por uno. A veces también escuchar algunos sonidos como uno de los responsables de cualquier ventana del navegador pero no visibles. Definitivamente hay mal que no se supone que existe.

**evilfantasy** · #6 21a-sep-2008, 19:26

Descargar ComboFix por SUBS de uno de los enlaces a continuación. Asegúrese de guardar arriba a la Escritorio.

Link # 1
Link # 2

** Nota: Es importante que se guarda directamente a su escritorio

Cerrar todos los navegadores Web. (Firefox, Internet Explorer, etc) antes de iniciar ComboFix.

Temporalmente desactivar tu antivirus, Y cualquier antispyware protección en tiempo real antes de realizar un análisis. Haga clic en este enlace para ver una lista de programas de seguridad que deben ser discapacitados y la manera de desactivarlo.

Haga doble clic en combofix.exe y sigue las instrucciones.
Cuando termine ComboFix producirá un registro para usted.
Publicar la ComboFix registro y un nuevo Registro de HijackThis en su próxima respuesta.

Importante: No mouseclick ComboFix de la ventana mientras se está ejecutando. Que puede causar a pérdida de sustentación.

Recuerde volver a habilitar su protección antivirus y antispyware ComboFix cuando esté completa.

nitingaur · #7 21a-sep-2008, 19:42

ComboFix Registrarse
-----------------------
ComboFix 08-09-20.05 - 012466 2008-09-21 19:31:50.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.473 [GMT -7:00]
A partir de: C: \ Keanetools \ ComboFix.exe
* Creado un nuevo punto de restauración
Esta máquina-ADVERTENCIA NO TIENE LA RECUPERACIÓN DE CONSOLA INSTALADA!
.
Otros ((((((((((((((((((((((((((((((((((((((( Supresiones ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ Documents and Settings \ LocalService \ Cookies \ system@ad.yieldmanag er [1]. Txt
C: \ WINDOWS \ system32 \ x64
.
((((((((((((((((((((((((((((((((((((((( Controladores / Servicios )))))))) )))))))))))))))))))))))))))))))))))))))))
.
------- \ Legacy_BHSRV
------- \ Service_BHsrv

Archivos de ((((((((((((((((((((((((( Creado 2008-08-22 al 2008-09-22 ))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR> d -------- C: \ Archivos de programa \ Malwarebytes' Anti-Malware
2008-09-21 18:09. 2008-09-21 18:09 <DIR> d -------- C: \ Documents and Settings \ All Users \ Datos de programa \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR> d -------- C: \ Documents and Settings \012466 \ Datos de programa \ Malwarebytes
2008-09-21 18:09. 2008-09-10 00:04 38.528 - un ------ C: \ WINDOWS \ system32 \ drivers \ mbamswissarmy.sys
2008-09-21 18:09. 2008-09-10 00:03 17.200 - un ------ C: \ WINDOWS \ system32 \ drivers \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR> d -------- C: \ Archivos de programa \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR> d -------- C: \ Documents and Settings \ All Users \ Datos de programa \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR> d -------- C: \ Archivos de programa \ Archivos comunes \ Sabio asistente de instalación
2008-09-20 23:40. 2008-09-20 23:40 <DIR> d -------- C: \ Archivos de programa \ Trend Micro
2008-09-19 09:03. 2008-09-19 09:08 <DIR> d -------- C: \ WINDOWS \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR> d -------- C: \ Documents and Settings \012466 \. Housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR> da ------ C: \ Documents and Settings \ All Users \ Datos de programa \ TEMP
2008-09-18 20:25. 2002-02-04 06:22 1.230.336 - un ------ C: \ WINDOWS \ system32 \ msxml4.dll
2008-09-18 20:25. 2007-09-14 05:01 922.920 --------- C: \ WINDOWS \ system32 \ ahlprun.exe
2008-09-18 20:25. 2002-02-04 06:13 82.432 - un ------ C: \ WINDOWS \ system32 \ msxml4r.dll
2008-09-18 20:25. 2002-02-04 06:13 44.544 - un ------ C: \ WINDOWS \ system32 \ msxml4a.dll
2008-09-18 20:25. 2002-02-07 18:43 9.679 - un ------ C: \ WINDOWS \ system32 \ msxml4r.cat
2008-09-18 20:25. 2002-02-07 18:43 9.675 - un ------ C: \ WINDOWS \ system32 \ msxml4.cat
2008-09-18 20:25. 2002-02-06 20:31 3.489 - un ------ C: \ WINDOWS \ system32 \ msxml4.Manifest
2008-09-18 20:25. 2002-02-06 20:31 500 - a ------ C: \ WINDOWS \ system32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR> d -------- C: \ Archivos de programa \ Archivos comunes \ Lenovo
2008-09-18 18:27. 2008-09-21 11:54 21.272 - un ------ C: \ WINDOWS \ system32 \ bynpea.key
2008-09-18 18:25. 2008-09-18 18:25 1 - a ------ C: \ WINDOWS \ system32 \004fdb9.imi
2008-09-15 14:23. 2008-09-15 14:23 332.800 --- hs ---- C: \ WINDOWS \ system32 \ _Bhsrv.msi
2008-09-15 12:15. 2008-09-18 15:57 69.942 - un ------ C: \ WINDOWS \ system32 \ rrjack.key
2008-09-15 12:15. 2008-09-15 12:15 1 - a ------ C: \ WINDOWS \ system32 \0048444.imi
2008-09-13 19:27. 2008-09-13 19:27 24 - a ------ C: \ WINDOWS \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Archivos de programa \ Real
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Archivos de programa \ Archivos comunes \ xing compartida
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Archivos de programa \ Archivos comunes \ Real
.
(((((((((((((((((((((((((((((((((((((((( Find3M Informe )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 02:33 --------- d ----- w C: \ Archivos de programa \ Symantec AntiVirus
2008-09-22 02:33 --------- d ----- w C: \ Archivos de programa \ cliente VPN de Cisco
2008-09-21 18:56 16 - sh - r C: \ MSCIOTL.SYS
2008-09-21 18:55 8.416 ---- aw C: \ WINDOWS \ system32 \ drivers \ CDProbe.SYS
2008-09-20 19:26 430.816 - sh - w C: \ Archivos de programa \ _MsInfo.msi
2008-09-19 03:25 --------- d - h - w C: \ Archivos de programa \ InstallShield Información de la instalación
2008-09-19 03:25 --------- d ----- w C: \ Archivos de programa \ ThinkVantage
2008-09-19 03:21 --------- d ----- w C: \ Archivos de programa \ Lenovo
.
Reg. ((((((((((((((((((((((((((((((((((((( Cargando Puntos )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Nota * entradas vacías y las entradas son de fiar por defecto no se muestra
REGEDIT4
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curré ntVersion \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 15360]
"Yahoo! Pager" = "C: \ Archivos de programa \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"IgfxTray" = "C: \ WINDOWS \ system32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "C: \ WINDOWS \ system32 \ hkcmd.exe" [2007-08-15 162328]
"Persistencia" = "C: \ WINDOWS \ system32 \ igfxpers.ex e" [2007-08-15 137752]
"ccApp" = "C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccApp.exe" [2006-03-24 53408]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "C: \ Archivos de programa \ Lenovo \ de HotKey \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "C: \ Archivos de programa \ Archivos comunes \ Sonic \ Update Manager \ sgtray.exe" [2003-08-18 110592]
"dla" = "C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. Exe" [2007-04-26 243248]
"LPManager" = "C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"TVT Scheduler Proxy" = "C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "C: \ Archivos de programa \ Archivos comunes \ Real \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" = "tp4mon.exe" [2004-08-03 C: \ WINDOWS \ system32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 C: \ WINDOWS \ system32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 C: \ WINDOWS \ system32 \ TpShocks.exe]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"Communicator" = "C: \ Archivos de programa \ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Curr entversion \ Policies \ System]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. Predeterminada \ Software \ Microsoft \ Windows \ rentversion act \ Policies \ Explorer]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tpfnf2]
2006-09-06 13:37 34344 C: \ Archivos de programa \ Lenovo \ de HotKey \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tphotkey]
2006-12-14 08:06 28672 C: \ Archivos de programa \ Lenovo \ de HotKey \ tphklock.dll
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ contro l \ lsa]
Paquete de autenticación REG_MULTI_SZ MSV1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ centro de seguridad \ Vigilancia \ SymantecAntiVirus]
"DisableMonitoring" = dword: 00000001
[HKLM \ ~ \ services \ sharedaccess \ parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% windir% \ \ system32 \ \ Sessmgr.exe" =
"C: \ \ Archivos de programa \ \ Yahoo! \ \ Messenger \ \ YahooMessenger.exe" =
"C: \ \ Archivos de programa \ \ Yahoo! \ \ Messenger \ \ YServer.exe" =
R0 Shockprf; Shockprf; C: \ WINDOWS \ system32 \ DRIVERS \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN; TPDIGIMN; C: \ WINDOWS \ system32 \ DRIVERS \ ApsH M86.sys [2007-03-02 19760]
R2 smefs; SMEFileSystem; C: \ WINDOWS \ system32 \ drivers \ sm efs.sys [2006-02-08 20508]
R3 CdProbe; CdProbe; C: \ WINDOWS \ system32 \ DRIVERS \ cdprob e.sys [2008-09-21 8416]
R3 smedrv; SMEDriver; C: \ WINDOWS \ system32 \ drivers \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc; Servicio de Gestión de Aplicaciones, C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ msinfo \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi; yraebbgi; C: \ WINDOWS \ system32 \ drivers \ bynp ea.sys []
S2 yrtxzgwh; yrtxzgwh; C: \ WINDOWS \ system32 \ drivers \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
.
------- ------- Suplementaria de exploración
.
R0 -: HKCU-Main, Start Page = hxxp: / / www.google.com/
O8 -: E & xport a Microsoft Excel - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
.
************************************************** ************************
CatchMe 0.3.1361 W2K/XP/Vista - rootkit / sigilo de malware detector de Gmer, http://www.gmer.net
Rootkit exploración 2008-09-21 19:35:12
5/1/2600 Windows Service Pack 2 NTFS
oculta los procesos de exploración ...
exploración escondida entradas ...
escaneo los archivos ocultos ...
de exploración se ha completado con éxito
los archivos ocultos: 0
************************************************** ************************
[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ A ppMgSvc]
"ImagePath" = "C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ msinfo \ MsInfo.msi"
.
--------------------- DLLs cargados bajo el chorro de Procesos ---------------------
PROCESO: C: \ WINDOWS \ system32 \ winlogon.exe
-> C: \ Archivos de programa \ Lenovo \ de HotKey \ tphklock.dll
.
------------------------ Otros procesos que se están ejecutando ----------------------- --
.
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ S24EvMon.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccSetMgr.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccEvtMgr.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ Archivos de programa \ Lavasoft \ Ad-Aware \ aawservice.exe
C: \ _integra \ bin \ shstart.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ Archivos de programa \ Lenovo \ de HotKey \ TPONSCR.exe
C: \ Archivos de programa \ Lenovo \ ZOOM \ TpScrex.exe
C: \ Archivos de programa \ Symantec AntiVirus \ DoScan.exe
C: \ Archivos de programa \ Internet Explorer \ IEXPLORE.EXE
C: \ CENTENN.IAL \ AUDITORÍA \ CAgent32.exe
C: \ CENTENN.IAL \ AUDITORÍA \ xferwan.exe
C: \ Archivos de programa \ cliente VPN de Cisco \ cvpnd.exe
C: \ Archivos de programa \ Symantec AntiVirus \ DefWatch.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ EvtEng.exe
C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ VS7DEBUG \ Mdm.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ RegSrvc.exe
C: \ Archivos de programa \ Yahoo! \ Messenger \ Ymsgr_tray.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ Archivos de programa \ Symantec AntiVirus \ SavRoam.exe
C: \ Archivos de programa \ Symantec AntiVirus \ Rtvscan.exe
C: \ Archivos de programa \ Archivos comunes \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ WINDOWS \ system32 \ TPHDEXLG.exe
C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ tvtsched.exe
C: \ _integra \ bin \ ccmagent.exe
C: \ Archivos de programa \ Lenovo \ System Update \ SUService.exe
C: \ WINDOWS \ system32 \ wscntfy.exe
C: \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
Momento de terminación: 2008-09-21 19:36:58 - máquina se reinicia
ComboFix-cuarentena-files.txt 2008-09-22 02:36:54
Pre-Run: 64333811712 bytes libres
Post-Run: 64523264000 bytes libres
175

HijackThis Registrarse
-----------------------------------
'Log' de Trend Micro HijackThis V2.0.2
Escanear guardado en 7:38:41 PM, en 9/21/2008
Plataforma: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer V6.00 SP2 (6.00.2900.2180)
Modo de arranque: Normal
Procesos que se están ejecutando:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ S24EvMon.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccSetMgr.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccEvtMgr.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ Archivos de programa \ Lavasoft \ Ad-Aware \ aawservice.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
c: \ _integra \ bin \ shstart.exe
C: \ WINDOWS \ system32 \ tp4mon.exe
C: \ WINDOWS \ system32 \ igfxtray.exe
C: \ WINDOWS \ system32 \ hkcmd.exe
C: \ WINDOWS \ system32 \ igfxpers.exe
C: \ WINDOWS \ system32 \ NWTRAY.EXE
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccApp.exe
C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ Archivos de programa \ Lenovo \ de HotKey \ TPOSDSVC.exe
C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
C: \ Archivos de programa \ Lenovo \ de HotKey \ TPONSCR.exe
C: \ Archivos de programa \ Lenovo \ Zoom \ TpScrex.exe
C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
C: \ WINDOWS \ system32 \ TpShocks.exe
C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ scheduler_proxy.exe
C: \ Archivos de programa \ Archivos comunes \ Real \ Update_OB \ realsched.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Archivos de programa \ Internet Explorer \ iexplore.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Centenn.ial \ Auditoría \ CAgent32.exe
C: \ Centenn.ial \ Auditoría \ xferwan.exe
C: \ Archivos de programa \ cliente VPN de Cisco \ cvpnd.exe
C: \ Archivos de programa \ Symantec AntiVirus \ DefWatch.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ EvtEng.exe
C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ VS7DEBUG \ Mdm.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ RegSrvc.exe
C: \ Archivos de programa \ Yahoo! \ Messenger \ ymsgr_tray.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ Archivos de programa \ Symantec AntiVirus \ SavRoam.exe
C: \ Archivos de programa \ Symantec AntiVirus \ Rtvscan.exe
C: \ Archivos de programa \ Archivos comunes \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ WINDOWS \ System32 \ TPHDEXLG.exe
C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ tvtsched.exe
c: \ _integra \ bin \ ccmagent.exe
c: \ archivos de programa \ Lenovo \ system update \ suservice.exe
C: \ WINDOWS \ system32 \ wscntfy.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ WINDOWS \ Explorer.exe
C: \ Archivos de programa \ Trend Micro \ HijackThis \ HijackThis.exe
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Archivos de programa \ Adobe \ Acrobat 7.0 \ ActiveX \ AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - C: \ WINDOWS \ system32 \ dla \ tfswshx.dll
O4 - HKLM \ .. \ Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [Persistencia] C: \ WINDOWS \ system32 \ igfxpers.exe
O4 - HKLM \ .. \ Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [TPHOTKEY] C: \ Archivos de programa \ Lenovo \ de HotKey \ TPOSDSVC.exe
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Archivos de programa \ Archivos comunes \ Sonic \ Update Manager \ sgtray.exe" / r
O4 - HKLM \ .. \ Run: [dla] C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
O4 - HKLM \ .. \ Run: [EZEJMNAP] C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \ Run: [LPManager] C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \ Run: [TpShocks] TpShocks.exe
O4 - HKLM \ .. \ Run: [TVT Scheduler proxy] C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ scheduler_proxy.exe
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Archivos de programa \ Archivos comunes \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ Archivos de programa \ Yahoo! \ Messenger \ YahooMessenger.exe" silencioso
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Communicator] "C: \ Archivos de programa \ Microsoft Office Communicator \ Communicator.exe" (El usuario 'SERVICIO LOCAL')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Communicator] "C: \ Archivos de programa \ Microsoft Office Communicator \ Communicator.exe" (El usuario 'Servicio de red')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Communicator] "C: \ Archivos de programa \ Microsoft Office Communicator \ Communicator.exe" (El usuario "sistema")
O4 - HKUS \. DEFAULT \ .. \ Run: [Communicator] "C: \ Archivos de programa \ Microsoft Office Communicator \ Communicator.exe" (El usuario predeterminada de usuario ')
O8 - Extra menú contextual tema: E & xport a Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Extra botón: Investigación - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra botón: @ C: \ Archivos de programa \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Archivos de programa \ Messenger \ msmsgs.exe
O9 - Extra "Herramientas" menuitem: @ C: \ Archivos de programa \ Messenger \ Msgslang.dll, -61144 - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Archivos de programa \ Messenger \ msmsgs.exe
O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (Trend Micro ActiveX exploración Agente 6,6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): Domain = keane.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (D239A412-22C2-4683-95BC-1FFAA687D0DF): NameServer = 172.21.18.101,172.21.18.102
O23 - Servicio: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C: \ Archivos de programa \ Lavasoft \ Ad-Aware \ aawservice.exe
O23 - Servicio: Servicio de Gestión de Aplicaciones (AppMgSvc) - Desconocido propietario - C: \ Program.exe (archivo de desaparecidos)
O23 - Servicio: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccEvtMgr.exe
O23 - Servicio: Administrador de configuración de Symantec (ccSetMgr) - Symantec Corporation - C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccSetMgr.exe
O23 - Servicio: CentennialClientAgent - Centenario Software Limited - C: \ Centenn.ial \ Auditoría \ CAgent32.exe
O23 - Servicio: CentennialIPTransferAgent - Centenario Software Limited - C: \ Centenn.ial \ Auditoría \ xferwan.exe
O23 - Servicio: Servicio de actualización de cliente para Novell (cusrvc) - Novell, Inc. - C: \ WINDOWS \ system32 \ cusrvc.exe
O23 - Servicio: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C: \ Archivos de programa \ cliente VPN de Cisco \ cvpnd.exe
O23 - Servicio: Symantec AntiVirus Definición Watcher (DefWatch) - Symantec Corporation - C: \ Archivos de programa \ Symantec AntiVirus \ DefWatch.exe
O23 - Servicio: Intel (R) PROSet / Wireless Registro de sucesos (EvtEng) - Intel Corporation - C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ EvtEng.exe
O23 - Servicio: Servicio de ThinkPad PM (IBMPMSVC) - Lenovo - C: \ WINDOWS \ system32 \ ibmpmsvc.exe
O23 - Servicio: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Servicio: Intel (R) PROSet / Wireless Servicio de Registro (RegSrvc) - Intel Corporation - C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ RegSrvc.exe
O23 - Servicio: Intel (R) PROSet / Wireless Service (S24EventMonitor) - Intel Corporation - C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ S24EvMon.exe
O23 - Servicio: SAVRoam (SavRoam) - symantec - C: \ Archivos de programa \ Symantec AntiVirus \ SavRoam.exe
O23 - Servicio: los controladores de red de servicios de Symantec (SNDSrvc) - Symantec Corporation - C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ SNDSrvc.exe
O23 - Servicio: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
O23 - Servicio: Actualización del sistema (SUService) - Lenovo Group Limited - c: \ archivos de programa \ Lenovo \ system update \ suservice.exe
O23 - Servicio: Symantec AntiVirus - Symantec Corporation - C: \ Archivos de programa \ Symantec AntiVirus \ Rtvscan.exe
O23 - Servicio: Servicio de Supervisión de Registro ThinkVantage - Lenovo Group Limited - C: \ Archivos de programa \ Archivos comunes \ Lenovo \ tvt_reg_monitor_svc.exe
O23 - Servicio: ThinkPad HDD APS Servicio de registro (TPHDEXLGSVC) - Lenovo. - C: \ WINDOWS \ System32 \ TPHDEXLG.exe
O23 - Servicio: TVT Scheduler - Lenovo Group Limited - C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ tvtsched.exe
O23 - Servicio: Symantec LiveState agente para Windows (WControl) - Symantec Corporation - c: \ _integra \ bin \ ccmagent.exe
--
Fin de archivo - 8581 octetos

**evilfantasy** · #8 21a-sep-2008, 21:24

Nota: las instrucciones que a continuación se han creado específicamente para este usuario. Si no está este usuario, NO siga estas instrucciones, ya que podría dañar el funcionamiento de su sistema

Eliminar estos archivos / carpetas, como sigue:

1. Ir a Iniciar > Correr > Tipo Notepad.exe y haga clic en Aceptar para abrir el Bloc de notas.
Ello deber ser el Bloc de notas, Wordpad no.
2. Copiar el texto a continuación en el cuadro del código, poniendo de relieve todo el texto y pulsando Ctrl + C

Código:

Killall:: Conductor:: BHSRV BHsrv Archivo:: C: \ WINDOWS \ system32 \ bynpea.key C: \ WINDOWS \ system32 \ 004fdb9.imi C: \ WINDOWS \ system32 \ _Bhsrv.msi C: \ WINDOWS \ system32 \ rrjack. clave C: \ WINDOWS \ system32 \ 0048444.imi C: \ WINDOWS \ system32 \ drivers \ bynpea.sys C: \ WINDOWS \ system32 \ drivers \ rrjack.sys C: \ WINDOWS \ system32 \ calc.exe

3. Ir a la ventana del Bloc de notas y haga clic en Editar > Pegar
4. A continuación, haga clic Archivo > Salvar
5. Nombre del archivo CFScript.txt - Guarde el archivo en su escritorio
6. A continuación, arrastre el CFScript (mantenga el botón izquierdo del ratón mientras arrastra el archivo) y suéltelo (soltar el botón izquierdo del ratón) en ComboFix.exe como ves en la captura de pantalla a continuación. Importante: Realizar esta instrucción con cuidado!

ComboFix comenzará a ejecutar, sólo tienes que seguir las instrucciones.
Después de reiniciar (en caso de que pide reiniciar), producirá un registro para usted.
Puesto que log (Combofix.txt) en su próxima respuesta.

Nota: No mouseclick ComboFix de la ventana mientras se está ejecutando. Que puede provocar que su sistema para congelar

nitingaur · #9 21a-sep-2008, 22:20

ComboFix registro después de ejecutar CFSCript
-------------------------------------------------- --------
ComboFix 08-09-20.05 - 012466 2008-09-21 22:11:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.598 [GMT -7:00]
A partir de: C: \ Keanetools \ ComboFix.exe
Comando de interruptores utilizados:: C: \ Documents and Settings \012466 \ Escritorio \ CFScript.txt
* Creado un nuevo punto de restauración
Esta máquina-ADVERTENCIA NO TIENE LA RECUPERACIÓN DE CONSOLA INSTALADA!
ARCHIVO::
C: \ WINDOWS \ system32 \ _Bhsrv.msi
C: \ WINDOWS \ system32 \0048444.imi
C: \ WINDOWS \ system32 \004fdb9.imi
C: \ WINDOWS \ system32 \ bynpea.key
C: \ WINDOWS \ system32 \ calc.exe
C: \ WINDOWS \ system32 \ drivers \ bynpea.sys
C: \ WINDOWS \ system32 \ drivers \ rrjack.sys
C: \ WINDOWS \ system32 \ rrjack.key
.
Otros ((((((((((((((((((((((((((((((((((((((( Supresiones ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ WINDOWS \ system32 \ _Bhsrv.msi
C: \ WINDOWS \ system32 \0048444.imi
C: \ WINDOWS \ system32 \004fdb9.imi
C: \ WINDOWS \ system32 \ bynpea.key
C: \ WINDOWS \ system32 \ calc.exe
C: \ WINDOWS \ system32 \ rrjack.key
.
Archivos de ((((((((((((((((((((((((( Creado 2008-08-22 al 2008-09-22 ))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR> d -------- C: \ Archivos de programa \ Malwarebytes' Anti-Malware
2008-09-21 18:09. 2008-09-21 18:09 <DIR> d -------- C: \ Documents and Settings \ All Users \ Datos de programa \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR> d -------- C: \ Documents and Settings \012466 \ Datos de programa \ Malwarebytes
2008-09-21 18:09. 2008-09-10 00:04 38.528 - un ------ C: \ WINDOWS \ system32 \ drivers \ mbamswissarmy.sys
2008-09-21 18:09. 2008-09-10 00:03 17.200 - un ------ C: \ WINDOWS \ system32 \ drivers \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR> d -------- C: \ Archivos de programa \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR> d -------- C: \ Documents and Settings \ All Users \ Datos de programa \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR> d -------- C: \ Archivos de programa \ Archivos comunes \ Sabio asistente de instalación
2008-09-20 23:40. 2008-09-20 23:40 <DIR> d -------- C: \ Archivos de programa \ Trend Micro
2008-09-19 09:03. 2008-09-19 09:08 <DIR> d -------- C: \ WINDOWS \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR> d -------- C: \ Documents and Settings \012466 \. Housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR> da ------ C: \ Documents and Settings \ All Users \ Datos de programa \ TEMP
2008-09-18 20:25. 2002-02-04 06:22 1.230.336 - un ------ C: \ WINDOWS \ system32 \ msxml4.dll
2008-09-18 20:25. 2007-09-14 05:01 922.920 --------- C: \ WINDOWS \ system32 \ ahlprun.exe
2008-09-18 20:25. 2002-02-04 06:13 82.432 - un ------ C: \ WINDOWS \ system32 \ msxml4r.dll
2008-09-18 20:25. 2002-02-04 06:13 44.544 - un ------ C: \ WINDOWS \ system32 \ msxml4a.dll
2008-09-18 20:25. 2002-02-07 18:43 9.679 - un ------ C: \ WINDOWS \ system32 \ msxml4r.cat
2008-09-18 20:25. 2002-02-07 18:43 9.675 - un ------ C: \ WINDOWS \ system32 \ msxml4.cat
2008-09-18 20:25. 2002-02-06 20:31 3.489 - un ------ C: \ WINDOWS \ system32 \ msxml4.Manifest
2008-09-18 20:25. 2002-02-06 20:31 500 - a ------ C: \ WINDOWS \ system32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR> d -------- C: \ Archivos de programa \ Archivos comunes \ Lenovo
2008-09-13 19:27. 2008-09-13 19:27 24 - a ------ C: \ WINDOWS \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Archivos de programa \ Real
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Archivos de programa \ Archivos comunes \ xing compartida
2008-09-13 19:26. 2008-09-13 19:26 <DIR> d -------- C: \ Archivos de programa \ Archivos comunes \ Real
.
(((((((((((((((((((((((((((((((((((((((( Find3M Informe )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 05:14 8.416 ---- aw C: \ WINDOWS \ system32 \ drivers \ CDProbe.SYS
2008-09-22 05:14 16 - sh - r C: \ MSCIOTL.SYS
2008-09-22 05:14 --------- d ----- w C: \ Archivos de programa \ Symantec AntiVirus
2008-09-22 03:07 --------- d ----- w C: \ Archivos de programa \ cliente VPN de Cisco
2008-09-20 19:26 430.816 - sh - w C: \ Archivos de programa \ _MsInfo.msi
2008-09-19 03:25 --------- d - h - w C: \ Archivos de programa \ InstallShield Información de la instalación
2008-09-19 03:25 --------- d ----- w C: \ Archivos de programa \ ThinkVantage
2008-09-19 03:21 --------- d ----- w C: \ Archivos de programa \ Lenovo
.
((((((((((((((((((((((((((((( Snapshot@2008-09-21_19.36.38.64 )))))))))) )))))))))))))))))))))))))))))))
.
- 2008-09-21 18:59:45 71.370 ---- aw C: \ WINDOWS \ system32 \ perfc009.dat
+ 2008-09-22 02:39:43 71.370 ---- aw C: \ WINDOWS \ system32 \ perfc009.dat
- 2008-09-21 18:59:45 439.832 ---- aw C: \ WINDOWS \ system32 \ perfh009.dat
+ 2008-09-22 02:39:43 439.832 ---- aw C: \ WINDOWS \ system32 \ perfh009.dat
.
Reg. ((((((((((((((((((((((((((((((((((((( Cargando Puntos )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Nota * entradas vacías y las entradas son de fiar por defecto no se muestra
REGEDIT4
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curré ntVersion \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 15360]
"Yahoo! Pager" = "C: \ Archivos de programa \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"IgfxTray" = "C: \ WINDOWS \ system32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "C: \ WINDOWS \ system32 \ hkcmd.exe" [2007-08-15 162328]
"Persistencia" = "C: \ WINDOWS \ system32 \ igfxpers.ex e" [2007-08-15 137752]
"ccApp" = "C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccApp.exe" [2006-03-24 53408]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "C: \ Archivos de programa \ Lenovo \ de HotKey \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "C: \ Archivos de programa \ Archivos comunes \ Sonic \ Update Manager \ sgtray.exe" [2003-08-18 110592]
"dla" = "C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. Exe" [2007-04-26 243248]
"LPManager" = "C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"TVT Scheduler Proxy" = "C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "C: \ Archivos de programa \ Archivos comunes \ Real \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" = "tp4mon.exe" [2004-08-03 C: \ WINDOWS \ system32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 C: \ WINDOWS \ system32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 C: \ WINDOWS \ system32 \ TpShocks.exe]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"Communicator" = "C: \ Archivos de programa \ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Curr entversion \ Policies \ System]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. Predeterminada \ Software \ Microsoft \ Windows \ rentversion act \ Policies \ Explorer]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tpfnf2]
2006-09-06 13:37 34344 C: \ Archivos de programa \ Lenovo \ de HotKey \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tphotkey]
2006-12-14 08:06 28672 C: \ Archivos de programa \ Lenovo \ de HotKey \ tphklock.dll
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ contro l \ lsa]
Paquete de autenticación REG_MULTI_SZ MSV1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ centro de seguridad \ Vigilancia \ SymantecAntiVirus]
"DisableMonitoring" = dword: 00000001
[HKLM \ ~ \ services \ sharedaccess \ parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% windir% \ \ system32 \ \ Sessmgr.exe" =
"C: \ \ Archivos de programa \ \ Yahoo! \ \ Messenger \ \ YahooMessenger.exe" =
"C: \ \ Archivos de programa \ \ Yahoo! \ \ Messenger \ \ YServer.exe" =
R0 Shockprf; Shockprf; C: \ WINDOWS \ system32 \ DRIVERS \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN; TPDIGIMN; C: \ WINDOWS \ system32 \ DRIVERS \ ApsH M86.sys [2007-03-02 19760]
R2 smefs; SMEFileSystem; C: \ WINDOWS \ system32 \ drivers \ sm efs.sys [2006-02-08 20508]
R3 CdProbe; CdProbe; C: \ WINDOWS \ system32 \ DRIVERS \ cdprob e.sys [2008-09-21 8416]
R3 smedrv; SMEDriver; C: \ WINDOWS \ system32 \ drivers \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc; Servicio de Gestión de Aplicaciones, C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ msinfo \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi; yraebbgi; C: \ WINDOWS \ system32 \ drivers \ bynp ea.sys []
S2 yrtxzgwh; yrtxzgwh; C: \ WINDOWS \ system32 \ drivers \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
************************************************** ************************
CatchMe 0.3.1361 W2K/XP/Vista - rootkit / sigilo de malware detector de Gmer, http://www.gmer.net
Rootkit exploración 2008-09-21 22:16:04
5/1/2600 Windows Service Pack 2 NTFS
oculta los procesos de exploración ...
exploración escondida entradas ...
escaneo los archivos ocultos ...

C: \ WINDOWS \ system32 \ calc.exe
de exploración se ha completado con éxito
los archivos ocultos: 1
************************************************** ************************
[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ A ppMgSvc]
"ImagePath" = "C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ msinfo \ MsInfo.msi"
.
--------------------- DLLs cargados bajo el chorro de Procesos ---------------------
PROCESO: C: \ WINDOWS \ system32 \ winlogon.exe
-> C: \ Archivos de programa \ Lenovo \ de HotKey \ tphklock.dll
.
------------------------ Otros procesos que se están ejecutando ----------------------- --
.
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ S24EvMon.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccSetMgr.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ ccEvtMgr.exe
C: \ Archivos de programa \ Archivos comunes \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ Archivos de programa \ Lavasoft \ Ad-Aware \ aawservice.exe
C: \ Archivos de programa \ Internet Explorer \ IEXPLORE.EXE
C: \ CENTENN.IAL \ AUDITORÍA \ CAgent32.exe
C: \ CENTENN.IAL \ AUDITORÍA \ xferwan.exe
C: \ Archivos de programa \ cliente VPN de Cisco \ cvpnd.exe
C: \ Archivos de programa \ Symantec AntiVirus \ DefWatch.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ EvtEng.exe
C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ VS7DEBUG \ Mdm.exe
C: \ Archivos de programa \ Intel \ inalámbrico \ Bin \ RegSrvc.exe
C: \ Archivos de programa \ Symantec AntiVirus \ SavRoam.exe
C: \ Archivos de programa \ Symantec AntiVirus \ Rtvscan.exe
C: \ Archivos de programa \ Archivos comunes \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ WINDOWS \ system32 \ TPHDEXLG.exe
C: \ Archivos de programa \ Archivos comunes \ Lenovo \ Scheduler \ tvtsched.exe
C: \ _integra \ bin \ ccmagent.exe
C: \ Archivos de programa \ Lenovo \ System Update \ SUService.exe
C: \ _integra \ bin \ shstart.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ Archivos de programa \ Lenovo \ de HotKey \ TPONSCR.exe
C: \ Archivos de programa \ Lenovo \ ZOOM \ TpScrex.exe
C: \ Archivos de programa \ Symantec AntiVirus \ DoScan.exe
C: \ Archivos de programa \ Yahoo! \ Messenger \ Ymsgr_tray.exe
C: \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
Momento de terminación: 2008-09-21 22:17:28 - máquina se reinicia
ComboFix-cuarentena-files.txt 2008-09-22 05:17:23
ComboFix2.txt 2008-09-22 02:36:59
Pre-Run: 64509464576 bytes libres
Post-Run: 64505421824 bytes libres
181

**evilfantasy** · #10 21a-sep-2008, 22:26

Descargar OTMoveIt2 por Oldtimery guárdelo en su Escritorio.

Nota: Si está ejecutando en Vista, haga clic derecho en OTMoveIt2.exe y elegir Ejecutar como administrador.

1. Haga doble clic en OTMoveIt2.exe para ejecutarlo.
2. Copia las líneas en la codebox a continuación.

Código:

[matar explorer] C: \ WINDOWS \ system32 \ calc.exe HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ AppMgSvc EmptyTemp [empezar explorador]

3. Volver a OTMoveIt2, click derecho en la Pegar la lista de archivos / carpetas a Mover ventana (debajo de la barra amarilla) y elija Pegar
4. Haga clic en el rojo Moveit! botón.
5. Copia todo en la ventana Resultados (bajo la barra verde) y pegarlo en su próxima respuesta.
6. Cerrar OTMoveIt2

Nota: Si un archivo o carpeta no se pueden mover de inmediato se le puede pedir que reinicie el ordenador con el fin de terminar el proceso. Si se le pide que reinicie, elija Sí. Si no es así, iniciar el sistema de todos modos.

Hilos similares
Hilo	Hilo para principiantes	Foro	Respuestas	Último mensaje
Eliminación de virus de iexplore.exe / secuestro de registro	xalice15x	Virus, Spyware y Seguridad	16	12 de noviembre 2008 19:43
Iexplorer.exe virus - please help me!	Panda gigante	Virus, Spyware y Seguridad	2	6 de octubre 2008 14:55
Me estoy poniendo el virus para mi bone.exe IExplorer	damandg	Virus, Spyware y Seguridad	12	14 jul 2008 14:31
Iexplorer.exe virus	iuboy2006	Virus, Spyware y Seguridad	9	26 de marzo 2008 08:12
Avssytemcare popup virus y similares - (incluye el secuestro)	roles	Virus, Spyware y Seguridad	23	4 sep 2007 16:15

Herramientas de hilo
Mostrar Versión para imprimir Enviar esta página