Bueno, les mando los logs solicitados ya desde la PC QUE ESTABA MAL !!!
Capas quedo algo residual
RAPORT.TXT
SmitFraudFix v2.102
Scan done at 17:22:09,15, 30/09/2006
Run from C:\Documents and Settings\EduardoRizzu\Escritorio\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b166be07-30a4-4d38-b781-44528a630706}"="hydrodictyon"
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\WINDOWS\system32\gqagksr.dll Deleted
C:\Archivos de programa\VideosCodec\ Deleted
C:\Archivos de programa\VirusBurster\ Deleted
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
HIJACKTHIS
Logfile of HijackThis v1.99.1
Scan saved at 06:44:39 p.m., on 30/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\EduardoRizzu\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Archivos de programa\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://messenger.zone.msn.com/binary/ZIntro.cab32846.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{28A589E6-309E-4042-8268-9886770185F5}: NameServer = 200.108.192.4,200.108.192.5
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
INFOSAT.TXT
Sat Sep 30 14:01:02 2006
EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\PMMON.EXE.Muestra EliStartPage v12.43
a "
[email protected]". Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEOSCODEC\PMMON.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v12.43
a "
[email protected]". Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEOSCODEC\ISAMINI.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.43
a "
[email protected]". Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEOSCODEC\ISADDON.DLL --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\IESPLUGIN.DLL.Muestra EliStartPage v12.43
a "
[email protected]". Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEOSCODEC\IESPLUGIN.DLL --> Eliminado
C:\ARCHIVOS DE PROGRAMA\VIDEOSCODEC\ISAMONITOR.EXE --> Eliminado Puper
Eliminada Class, "{479FD0CF-5BE9-4C63-8CDA-B6D371C67BD5}" -> C:\Archivos de programa\VideosCodec\iesplugin.dll
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Sep 30 14:03:09 2006
EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\CyberMapa\SecureWay PRO\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\SolarWinds\Common\SWDISCOVERYSERVICES7.DLL --> Eliminado, QLowZones-12
C:\Archivos de programa\Windows Media Player\UNINST_VL.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Escritorio\BAJADOS PARA VER\EMULE_0.47A-INSTALLER-OTHER.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Mis documentos\Archivos Bajados\SETUP SECUREWAY PRO ALARMAS.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Mis documentos\Archivos Bajados\SETUP SECUREWAY PRO.EXE --> AutoExtraible
Sat Sep 30 14:33:26 2006
EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\CyberMapa\SecureWay PRO\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Windows Media Player\UNINST_VL.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Escritorio\BAJADOS PARA VER\EMULE_0.47A-INSTALLER-OTHER.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Mis documentos\Archivos Bajados\SETUP SECUREWAY PRO ALARMAS.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Mis documentos\Archivos Bajados\SETUP SECUREWAY PRO.EXE --> AutoExtraible
Sat Sep 30 15:38:40 2006
EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\CyberMapa\SecureWay PRO\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Windows Media Player\UNINST_VL.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Escritorio\BAJADOS PARA VER\EMULE_0.47A-INSTALLER-OTHER.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Mis documentos\Archivos Bajados\SETUP SECUREWAY PRO ALARMAS.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Mis documentos\Archivos Bajados\SETUP SECUREWAY PRO.EXE --> AutoExtraible
Sat Sep 30 18:46:32 2006
EliStartPage v12.43 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\CyberMapa\SecureWay PRO\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Windows Media Player\UNINST_VL.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Escritorio\BAJADOS PARA VER\EMULE_0.47A-INSTALLER-OTHER.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Escritorio\PROGRAMAS SPYWARE\SmitfraudFix\REBOOT.EXE --> Eliminado, DollarRevenue (dldr)
C:\Documents and Settings\EduardoRizzu\Mis documentos\Archivos Bajados\SETUP SECUREWAY PRO ALARMAS.EXE --> AutoExtraible
C:\Documents and Settings\EduardoRizzu\Mis documentos\Archivos Bajados\SETUP SECUREWAY PRO.EXE --> AutoExtraible
AUTORUN.TXT
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ !ewido ewido anti-spyware (Not verified) Anti-Malware Development a.s. c:\archivos de programa\ewido anti-spyware 4.0\ewido.exe
+ Adobe Photo Downloader File not found: C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
+ Ink Monitor Ink Monitor (Not verified) Epson c:\archivos de programa\epson\ink monitor\inkmonitor.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ SiSPower Dynamic link library for setting Power Scheme (Not verified) Silicon Integrated Systems Corporation c:\windows\system32\sispower.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ Acrobat Assistant.lnk AcroTray (Not verified) Adobe Systems Inc. c:\archivos de programa\adobe\acrobat 5.0\distillr\acrotray.exe
+ Inicio rápido de Adobe Reader.lnk Adobe Acrobat SpeedLauncher (Not verified) Adobe Systems Incorporated c:\archivos de programa\adobe\acrobat 7.0\reader\reader_sl.exe
C:\Documents and Settings\EduardoRizzu\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
+ isamonitor.exe File not found: C:\Archivos de programa\VideosCodec\isamonitor.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
+ ms-itss Microsoft® InfoTech Storage System Library (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ ewido anti-spyware 4.0 ewido anti-spyware guard (Not verified) Anti-Malware Development a.s. c:\archivos de programa\ewido anti-spyware 4.0\shellexecutehook.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ jetAudio Shell Extension for jetAudio (Not verified) JetAudio, Inc. c:\archivos de programa\jetaudio\jetflext.dll
+ NeroDigitalIconHandler Nero Digital Shell Extension (Not verified) Nero AG c:\archivos de programa\archivos comunes\ahead\lib\nerodigitalext.dll
+ NeroDigitalPropSheetHandler Nero Digital Shell Extension (Not verified) Nero AG c:\archivos de programa\archivos comunes\ahead\lib\nerodigitalext.dll
+ NOD32 Context Menu Shell Extension c:\archivos de programa\eset\nodshex.dll
+ WinRAR shell extension c:\archivos de programa\winrar\rarext.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
+ WinZip WinZip Shell Extension DLL (Not verified) WinZip Computing, Inc. c:\archivos de programa\winzip\wzshlstb.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ NeroDigitalColumnHandler Class Nero Digital Shell Extension (Not verified) Nero AG c:\archivos de programa\archivos comunes\ahead\lib\nerodigitalext.dll
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ AcroIEHlprObj Class AcroIEHelper Module (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\acrobat 5.0\acrobat\activex\acroiehelper.ocx
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
HKLM\System\CurrentControlSet\Services
+ ewido anti-spyware 4.0 guard ewido anti-spyware guard (Not verified) Anti-Malware Development a.s. c:\archivos de programa\ewido anti-spyware 4.0\guard.exe
+ NOD32krn NOD32 Kernel Service (Not verified) Eset c:\archivos de programa\eset\nod32krn.exe
HKLM\System\CurrentControlSet\Services
+ AMON Amon monitor (Not verified) Eset c:\windows\system32\drivers\amon.sys
+ ewido anti-spyware 4.0 driver c:\archivos de programa\ewido anti-spyware 4.0\guard.sys
+ pfc Padus(R) ASPI Shell (Not verified) Padus, Inc. c:\windows\system32\drivers\pfc.sys
+ vnccom VNC Communication (Not verified) RDV Soft c:\windows\system32\drivers\vnccom.sys
+ vncdrv Ultravnc Mirror Driver (Not verified) RDV Soft c:\windows\system32\drivers\vncdrv.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
+ NOD32 NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [RAW/IP]] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [TCP/IP]] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [UDP/IP]] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [RSVP TCP Service Provider] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [RSVP UDP Service Provider] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ PDF Port Acrobat ® PDF Port (Not verified) Adobe Systems Incorporated. c:\windows\system32\pdfports.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
Muchas gracias !