Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: tremolero en 11 Septiembre 2012, 17:19 pm


Título: services.exe virus o falso positivo?
Publicado por: tremolero en 11 Septiembre 2012, 17:19 pm
Bueno, os comento....

He usado el buscador y lo unico que he encontrado es gente que al pegar el log de hijackthis aparecia services.exe, pero mi duda es la siguiente....

Segun tengo entendido, services.exe pertenece a windows, por lo que si lo borro, no inicia y me toca restaurar, lo raro es que me lo ha detectado varios programas, ahora mismo solo recuerdo panda cloud antivirus, lo gracioso es lo siguiente pone: tipo=troyano detectado, nombre= nombre desconocido, ubicacion= c:\windows\system32\services.exe

He leido por internet que se puede tratar de un falso positivo, pero como lo han detectado varios, no se que pensar, en realidad no he notado nada raro en el pc.

Ahora mismo lo unico que se me ocurre es conseguir otro services.exe, escanearlo para ver si no dice nada y si no lo dice, borrar el que hay en system32 y poner el nuevo.

Que opinais?

Saludos....

Pd: una ultima duda, el archivo hosts, normalmente esta vacio, y ahi se suele añadir la ip y el dominio para acceder mas rapido, sin embargo spybot, añade una lista super larga que lo redirecciona todo a 127.0.0.1, vamos se que la funcion de eso, es que si yo meto esa url, me redirige a mi pc, pero deberia borrarlo o dejarlo asi?

Título: Re: services.exe virus o falso positivo?
Publicado por: skapunky en 11 Septiembre 2012, 22:33 pm
Podría tratarse de un falso positivo, pero generalmente cuando ocurren estas cosas con archivos de sistema lo reparan relativamente rápido o dan algún tipo de aviso. Yo estoy convencido qaue es un rootkit.

Podrías pasarle el GMER. http://www.gmer.net/

Ya nos contarás, no es difícil de utilizar.

Título: Re: services.exe virus o falso positivo?
Publicado por: tremolero en 11 Septiembre 2012, 23:30 pm
Pues por desgracia o suerte para mi, skapunky, no me ha detectado nada :S

Nose si lo habre hecho mal, te comento:

- descargo
- ejecuto
- pestaña rootkit/malware
- services, registry, files, C:, D:, ADS marcados
- Scan

me he esperado y cuando ha terminado, ha dicho que no habia nada.

No se hasta que punto puede ser peligroso, ni tampoco que hacer :S algun otro programa o idea?

Saludos...

Título: Re: services.exe virus o falso positivo?
Publicado por: burbu_1 en 11 Septiembre 2012, 23:56 pm
manda tu services.exe a virus total, 

el de mi xp
Citar
SHA256:    372c99aacd2c8a55c6f73c5b621fe48071d847c9d1a5d6300dcaeb73c0a4ff2e
Nombre:    services.exe
Detecciones:    0 / 42

y en mi vista
Citar
SHA256:    8748091bf27f05d28d45688e04dd9229a4b2e159209a64f457703f66a8cece4d
Nombre:    services.exe
Detecciones:    0 / 40

no tengo w7 a mano... pero casi seguro que tampoco da detecciones

Título: Re: services.exe virus o falso positivo?
Publicado por: tremolero en 12 Septiembre 2012, 00:45 am
Yo enserio estoy pillando malos rollos ya y no se que pensar.

La verdad ahora resulta q tengo un problema con virus total, y es el siguiente.

me meto en su pagina le doy a seleccionar y cuando voy a buscarlo, no aparece ¬¬ pero si voy yo en mi pc si que lo tengo, desde el buscador de virustotal no me los encuentra ni services.exe ni mctadmin.exe

Puto cerebro que me juega malas pasadas, ahora como siempre, es notar algo raro y veo cosas raras en todos los lados :S

Haber si podeis ayudarme de alguna forma...

Saludos...

Título: Re: services.exe virus o falso positivo?
Publicado por: MCKSys Argentina en 12 Septiembre 2012, 05:40 am
Copia el archivo en otra carpeta y verifica que no este oculto.

Título: Re: services.exe virus o falso positivo?
Publicado por: tremolero en 13 Septiembre 2012, 04:04 am
Por desgracia para mi, va a ser cierto, ya me lo imagine cuando no me dejaba hacerle el escaneo con virustotal, asi que como me dijistes, inicie con linux y le hice el escaneo y pum! se convirtio en chocapic.

Realmente no he notado nada raro en el pc.. pero lo quiero quitar.

La verdad la unica forma que se me ocurre es buscar un services.exe limpio y sustituirlo, de momento estoy buscando y no encuentro.

Aunque otra duda, puede ver si ese proceso tiene alguna relacion con algo de internet? y ver a donde va a parar?

Saludos...

Título: Re: services.exe virus o falso positivo?
Publicado por: tremolero en 13 Septiembre 2012, 22:05 pm
Bueno gente.... la verdad ya no se que hacer, ahora nose, si estoy infectado con millones de virus o estoy limpio total y solo son imaginaciones mias.

Haber os comento he sacado el services.exe de otro pc que estaba limpio y sustituido, ahora todo perfecto, lo unico que me he encontrado en mi pc es esto, y creo que este si que es un falso positivo.
https://www.virustotal.com/file/0f73a7f64c4fdab98cd3a865cc54b3a7195761530fcb115b725cc5a9fb738739/analysis/1267530488/ (https://www.virustotal.com/file/0f73a7f64c4fdab98cd3a865cc54b3a7195761530fcb115b725cc5a9fb738739/analysis/1267530488/)
Os comento, he sacado mctadmin.exe del pc limpio y tambien marca lo mismo, me lo he bajado de varios sitios y marca lo mismo, asi que no se.

Tambien comentar que le he pasado al pc todo lo que se me ha ocurrido, segui un tutorial de este foro que explica en 8 pasos casi todo.
Haber si recuerdo todos los nombres de los programas y os hago una lista:

- spywareblaster
- malwarebytes anti-malware
- spybot
- superantispyware
- tdsskiller
- Gmer
- panda cloud(creo que es online)
- nod32 (online e instalado los dos le he pasado)
- kaspersky (online)
- ad-aware
- Ccleaner

Creo que no se me olvida ninguno xD, creo que he pasado bastantes programas, creo que me falta por pasarle el avg y el avast, pero no se si pasarselo o ya es bastante, tambien decir que tengo instalado comodo firewall y no se si cambiarlo por agnitum outpost, tambien inicie en modo a prueba de fallos y pase todos o la mayoria, la verdad, estoy por hacer un ultimo escaneo con todo en modo a prueba de fallos y sino me detecta nada quedarme tranquilo, pero os comento:

he notado cosas como algun bloqueo del pc, muy pocos pero alguno, bloqueadas de firefox, incluso cuando enciendo el pc, alguna cosa rara despues de iniciar como si le costara.

La verdad como ya he dicho no se si es cosa mia o de verdad hay algo raro, no quiero formatear, aunque seguramente dentro de algun tiempo recurrire a hacerlo.

Siempre he pensado que no era necesario realmente el antivirus, que controlando mas o menos lo que ejecutas, descargas, etc... suele estar controlada la cosa pero buff... luego haces un escaneo y te encuentras con alguna cosa que se te ha colado y no sabes como.

Mi duda es: teniendo instalado antivirus(nod32 por ejemplo), firewall(comodo), ccleaner, malwarebytes y spybot, estaria bien protegido? quizas problemas entre ellos? demasiado e innecesario? ya no se que hacer, en realidad estaria firewall y antivirus en marcha y lo demas son escaneos diarios o semanales...

Saludos...

Título: Re: services.exe virus o falso positivo?
Publicado por: MCKSys Argentina en 13 Septiembre 2012, 22:55 pm
En mi caso uso el firewall de windows (tengo seven pro registrado y up-To-Date).
Comodo AV (es liviano y solo lo uso por el sandbox que tiene) y DEP activado para todos los procesos (si algo no corre con DEP, no merece la pena ejecutarlo).

Todo lo "raro" que ejecuto lo hago en una VM (VMWare 8) y no he tenido problemas hasta ahora...

Título: Re: services.exe virus o falso positivo?
Publicado por: tremolero en 13 Septiembre 2012, 23:17 pm
Bueno.. pues yo no puedo activar el firewall de windows, una cosa mas para la sospecha :S
Aunque si que lo tengo actualizado, y comodo solo tengo el firewall, ya que av estoy usando ahora mismo nod32, aunque otra cosa rara es que no se me inicia automaticamente, y si me voy al msconfig y marco la casilla, al darle a aplicar se desmarca sola :S
La cosa es que yo lo puedo ejecutar y se inicia.

Respecto al DEP lo tengo como viene por defecto, he leido por ahi la opcion de desactivarlo, pero no se que es mejor.

Y lo que mas me suele ocurrir, es que se me bloquee el firefox, incluso viendo youtube, lo gracioso es que sigo escuxandolo pero firefox esta bloqueado, ni se ve el video, ni puedo cambiar de pestañas ni nada... y a veces el bloqueo se pasa a windows, la barra se bloquea, no puedo cambiar a otros programas etc... me toca mucho la moral, que se me llegue a bloquear el pc hasta puntos en los que tengo que terminar reseteando, y todo esto empezo por hacerle algun escaneo tonto y querer llegar hasta el fondo del asunto.... creo que al final terminare formateando, porque por mucho que mire procesos, y demas, no noto nada raro, nada que se me sature el cpu, ni nada....

Si se os ocurre algo os lo agradeceria, por lo demas, nose, haber si consigo aguantar, creo que quitare todos los programas de av y demas, porque me parece que tengo mas problemas desde que los instale, y en el proximo formateo,  intentare aguantar hasta enero o ya vere, y supongo que metere nod32, spybot y tendre el malwarebytes instalado para algun escaneo y ccleaner, y como firewall usare el de windows, no se si recurrire a comodo o agnitum.... ya vere.

Saludos...

Título: Re: services.exe virus o falso positivo?
Publicado por: MCKSys Argentina en 14 Septiembre 2012, 05:25 am
Cita de: tremolero en 13 Septiembre 2012, 23:17 pm
Respecto al DEP lo tengo como viene por defecto, he leido por ahi la opcion de desactivarlo, pero no se que es mejor.

Por defecto DEP viene activado sólo para los procesos del sistema. Lo convenitente es activarlo para TODOS los procesos.

Hay una herramienta que te permite saber qu´se se ejecuta al iniciar la PC (ya sea por registro, inicio, etc). Es gratis y la bajas desde aqui: http://www.nirsoft.net/utils/what_run_in_startup.html (http://www.nirsoft.net/utils/what_run_in_startup.html)

Con eso ya puedes ver los programas que se ejecutarán al iniciar el pc (ojo, no estan los servicios)

Saludos!

Título: Re: services.exe virus o falso positivo?
Publicado por: tremolero en 14 Septiembre 2012, 10:36 am
Gracias MCKSys Argentina, lo acabo de activar, cuando formatee, tambien lo activare.

Respecto a la herramienta, la verdad es que no hay ninguna novedad, solo se me inician varias cosas de windows, otras de logitech y otras de asrock, y lo unico que queda es el comodo, minibin y launchy.

Estoy muy mosqueado la verdad, y al final el formateo vendra antes de lo previsto, tampoco es que tenga muchas cosas instaladas en el pc y lo he intentado llevar con cuidado.

Lo mas gracioso es que cada vez que lo pienso, todo empezo por algun escaneo espontaneo que hice, detecto una tonteria, se me cruzaron los cables, empece a escanear a diestro y siniestro, y luego ya se sabe todo, que si pasandole todos los programas, que si algun archivo que no me dejaba escanearlo con virustotal, que si el firewall de windows no hay forma de activarlo, una cosa detras de otra.

Y el pc parece q va todo estupendo, y a lo mejor un dia arrancas y le cuesta pasar del login de windows, o pulsas boton derecho y le cuesta mucho abrir el menu, o vas a abrir una carpeta y tarda una eternidad o firefox tiene un cuelgue extraño....
En vez de ir a mejor parece que los remedios fueran a peor.

Haber si alguien me dijera algo mas pero viendo lo que veo, aun me pondre hoy a realizar copias de lo que me interese, y mañana formateo como me siga dando cosas raras.

Lo unico raro es que al iniciar tengo casi 80 procesos, pero no veo ningun sospechoso, y lo poco que se me ocurre ya, es que la mayoria de problemas se deban al haber instalado tantos av's y demas... voy a hacer una pequeña revision, para que se borren todos bien y si me cabrea mucho, tal vez formatee este fin de semana.

Saludos...

Título: Re: services.exe virus o falso positivo?
Publicado por: r32 en 15 Septiembre 2012, 02:27 am
Hola Tremolero, el hash de archivo de ese ejecutable es el siguiente para todos los XP, al menos lo he probado con 4 sistemas distintos.

SHA256:    372c99aacd2c8a55c6f73c5b621fe48071d847c9d1a5d6300dcaeb73c0a4ff2e

Citar
Os comento, he sacado mctadmin.exe del pc limpio y tambien marca lo mismo, me lo he bajado de varios sitios y marca lo mismo, asi que no se.

mctadmin.exe: Ese archivo pertenece a Windows 7, pensé que estabas usando XP ???

El archivo "Services.exe" está asociado a "Services.msc" el que te muestra la consola de servicios en tu Windows, si no recuerdo mal.

Si aún no has formateado podrías subir un log de Hijackthis y/o OTL y vemos a ver ese chorro de procesos, no es normal, y más por los isntomas que comentas:

Hijackthis: http://sourceforge.net/projects/hjt/

OTL: http://oldtimer.geekstogo.com/OTL.exe

Saludos.

Título: Re: services.exe virus o falso positivo?
Publicado por: tremolero en 15 Septiembre 2012, 12:44 pm
Gracias r32, adjunto el log, supongo que habra que adjuntar el log que sale nada mas darle a scan.

La verdad es que hijackthis lo he mirado varias veces pero nunca me he atrevido a tocarlo por si acaso.
Vi un tutorial en el foro en el que explicaban a que hacia referencia cada cosa, y que r1 y r0 podia fixearlo pero no he tocado por si acaso.

Código:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:34:09, on 15/09/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
D:\Archivos de programa\Launchy\Launchy.exe
D:\Archivos de programa\MiniBin\minibin.exe
C:\Program Files\Logitech Gaming Software\Applets\LCDMovieViewer.exe
C:\Program Files\Logitech Gaming Software\Applets\LCDYT.exe
C:\Program Files\Logitech Gaming Software\Applets\LCDMedia.exe
D:\Users\Schwantz\Downloads\Z7 Lcd Monitor 2\Z7LcdMonitor.exe
C:\Program Files\Logitech Gaming Software\Applets\LCDWebCam.exe
C:\Program Files (x86)\XFastUsb\XFastUsb.exe
C:\Program Files\ASUS Xonar DG Audio\Customapp\AsusAudioCenter.exe
D:\Users\Schwantz\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Archivos de programa\Office2007\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Aplicación auxiliar de la Grabadora de prueba web de Microsoft 10.0 - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - C:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll
O4 - HKLM\..\Run: [XFastUsb] "C:\Program Files (x86)\XFastUsb\XFastUsb.exe"
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - Startup: Launchy.lnk = D:\Archivos de programa\Launchy\Launchy.exe
O4 - Startup: MiniBin.lnk = D:\Archivos de programa\MiniBin\minibin.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\OFFICE~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\ARCHIV~1\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\ARCHIV~1\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\OFFICE~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{630E5562-D82D-48B2-968F-EA6D5AB52D31}: NameServer = 8.8.8.8,8.8.4.4
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Archivos de programa\Office2007\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\SysWOW64\appinit_dll.dll 
O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%windir%\system32\inetsrv\iisres.dll,-30011 (AppHostSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\appidsvc.dll,-100 (AppIDSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @appmgmts.dll,-3250 (AppMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (AudioSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\AxInstSV.dll,-103 (AxInstSV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\bdesvc.dll,-100 (BDESVC) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\bthserv.dll,-101 (bthserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\ASRock\XFast LAN\spd.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\cscsvc.dll,-200 (CscService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dhcpcore.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\FntCache.dll,-100 (FontCache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Futuremark SystemInfo Service - Futuremark Corporation - C:\Program Files (x86)\Futuremark\Futuremark SystemInfo\FMSISvc.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\ListSvc.dll,-100 (HomeGroupListener) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\provsvc.dll,-100 (HomeGroupProvider) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @%windir%\system32\inetsrv\iisres.dll,-30007 (IISADMIN) - Unknown owner - C:\Windows\system32\inetsrv\inetinfo.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-500 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netprofm.dll,-202 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\peerdistsvc.dll,-9000 (PeerDistSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\sysWow64\perfhost.exe,-2 (PerfHost) - Unknown owner - C:\Windows\SysWow64\perfhost.exe
O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%SystemRoot%\system32\pnrpauto.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpo.dll,-100 (Power) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @regsvc.dll,-1 (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%windir%\system32\RpcEpMap.dll,-1001 (RpcEptMapper) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\sensrsvc.dll,-1000 (SensrSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - D:\Archivos de programa\skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppuinotify.dll,-103 (sppuinotify) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - D:\Archivos de programa\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (stisvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\StorSvc.dll,-100 (StorSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Adobe SwitchBoard (SwitchBoard) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\termsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\themeservice.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\umrdp.dll,-1000 (UmRdpService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%windir%\system32\inetsrv\iisres.dll,-30003 (W3SVC) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%windir%\system32\inetsrv\iisres.dll,-30001 (WAS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: @%SystemRoot%\system32\wpcsvc.dll,-100 (WPCSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wscsvc.dll,-200 (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Windows Update (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wwansvc.dll,-257 (WwanSvc) - Unknown owner - C:\Windows\system32\svchost.exe

--
End of file - 22761 bytes

en running process se ven unos pocos, pero ahora mismo en el administrador de tareas pone 74, launchy y minibin los he instalado yo, los otros son de logitech.... haber si me podeis decir algo.

Gracias...

Título: Re: services.exe virus o falso positivo?
Publicado por: r32 en 15 Septiembre 2012, 14:04 pm
Este proceso no tendría que estar en el arranque e incluso decirte que


Puedes darle FIX a estas entradas,si lo prefieres quitalas tu mismo desde la consola "msconfig" o el mismo CCleaner, como te sea más comodo:


O4 - Startup: Launchy.lnk = D:\Archivos de programa\Launchy\Launchy.exe

O4 - Startup: MiniBin.lnk = D:\Archivos de programa\MiniBin\minibin.exe

O4 - Global Startup: SetPointII.lnk = ?

O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe

O4 - HKLM\..\Run: [XFastUsb] "C:\Program Files (x86)\XFastUsb\XFastUsb.exe"

Una vez eliminados del arranque, comenta si notas diferéncias o algun error y sube otro log.
Este proceso tendría que eliminarse también, cierralo, mira la ruta y elimina el archivo:

D:\Users\Schwantz\Downloads\Z7 Lcd Monitor 2\Z7LcdMonitor.exe

Saludos.

Título: Re: services.exe virus o falso positivo?
Publicado por: tremolero en 15 Septiembre 2012, 14:18 pm
pero podrias explicarme el motivo de porque eliminarlas?
me refiero si yo le doy a FIX a esas entradas, no se iniciara ni el launchy, ni minibin, la nota que tengo creada la perdere xD
igual que el z7 lcd monitor :S
no? es decir, despues de iniciar el pc, me tocara arrancar cada aplicacion a mi por mi cuenta, no?

Saludos...

Pd: tambien deberia decir, que borre todos los programas av y demas... desde entonces tengo menos problemas...


Título: Re: services.exe virus o falso positivo?
Publicado por: r32 en 15 Septiembre 2012, 14:50 pm
Si utilizas esos servicios entonces dejalos, el objetivo era minimizar el número de programas en el arranque, siempre los podrías llamar en caso necesario.
Respecto a éste "Z7LcdMonitor.exe" encontré informacion y no se ponian de acuerdo en si el proceso es legitimo o no. Al estar en las descargas e iniciarse al arranque lo tomé por precaución como proceso no seguro. Si estás seguro de que ese proceso es legitimo y le das uso dejalo.
Si eliminaste temporales y demas con CCleaner o similar y notas lentitud mira la desfragmentación del disco.

Ya solucionaste el archivo services.exe?

Saludos.



Título: Re: services.exe virus o falso positivo?
Publicado por: tremolero en 15 Septiembre 2012, 15:22 pm
r32, Z7lcdmonitor.exe es una aplicacion que se ejecuta en la pantalla del teclado, no es nada del otro mundo tiene una lupa y un grafico.

La verdad esque de momento ahora no me quejo, tambien es verdad que aveces no se si son paranoias mias o cosas de verdad, pero a la minima que noto algo, me pongo a dudar.

Ya digo, que la cosa fue, que note algo, realice un escaneo, me puse a instalar av's y demas programas para analizar a fondo, y entonces era cosa de que en vez de ir a mejor iva a peor...
ejemplo, instale un av, y al reiniciar no pasaba del login de windows, al 3 reinicio arranco.

Cosas raras, o se bloqueaba windows :S

Ahora lo mas raro que he notado suele ser referente a firefox, donde mas se nota es a lo mejor viendo algun video en youtube, bloquearse firefox y que se siga escuxando el video, y se me hace raro, porque no puedo pararlo, no puedo cambiar de pestaña, la imagen del video se queda bloqueada, pero el sonido sigue igual, revisare actualizar el plugin del video y demas, firefox esta en la ultima version.

Gracias por todo.


Pd: una duda r32, tu nombre tiene algo que ver con el coche? es decir, si es que si, es porque te gusta? o lo tienes o no tiene nada que ver?

Título: Re: services.exe virus o falso positivo?
Publicado por: r32 en 15 Septiembre 2012, 15:33 pm
No sabía de ese proceso, agradezco la explicación.
Pasaste casi de todo, pocas tools faltan, de momento si es solo el navegador que hace el tonto revisa los plugins como comentas, alguna actualización pendiente.

No te comenté de una opción para verificar la integridad de los archivos legítimos de Windows.
Desde el administrador de tareas ejecuta el comando (ejecutar como administrador):
sfc /scannow

Slaudos.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines