Mas abajo te copio un articulo publicado en el cual se explica sobre este archivo. Hay uno bueno y el otro malo...el bueno seria una aplicacion que se instala con algunos modem PCtel o HSP..el otro es un virus. Ojala y encuentres la solucion a este problema con esto.
Un ptsnoop.exe bueno y otro malo
------------------------------------------------
Nombre: Troj/Ptsnoop
Tipo: Caballo de Troya
Alias: Ptsnoop, Backdoor.Ptsnoop
---------------------------------------------------
Ptsnoop.exe, normalmente es un driver que instalan los módems PCTel, HSP, y
otros. Extrañamente, no es necesario que Ptsnoop esté instalado para que
estos módems funcionen, pudiendo ser borrado, como veremos más adelante.
Recientemente ha sido reportado un troyano que habilita una puerta trasera
en la computadora infectada, y que tiene el mismo nombre que el driver
mencionado al principio.
Escrito en Visual Basic, cuando se ejecuta, este troyano busca alguna
conexión a Internet (RAS) activa. Si no la encuentra, finaliza su ejecución.
Si existe una conexión hecha, el troyano se instala en el sistema,
copiándose a si mismo como PTSNOOP.EXE en la carpeta WindowsSystem. Luego
modifica el archivo WIN.INI, agregándose en la entrada LOAD= bajo la
etiqueta [Windows]:
[Windows]
Load=C:WindowsSystemPtsnoop.exe
Para modificar WIN.INI, el troyano primero copia este archivo como WIN.ANA,
modifica la entrada que vimos (Load=), borra a WIN.INI original y renombra a
WIN.ANA como WIN.INI. De este modo, el troyano se ejecutará en cada reinicio
de Windows.
Una vez activo, intenta conectarse a los siguientes sitios:
http://setway.cjb.net
http://setway1.cjb.net
http://setone.cjb.net
Si la conexión tiene éxito, el troyano coloca el cursor del ratón en
determinada área, y permite al atacante o a un script en los sitios
mencionados, controlar los movimientos del ratón y la posición de las
ventanas.
La razón para hacer esto no está clara, ya que los sitios mencionados han
sido dados de baja o modificados.
La idea podría haber sido conseguir que la víctima pulsara el botón del
ratón en ciertas áreas de un sitio, para bajar o ejecutar un script o un
archivo binario.
El troyano puede eliminarse quitándolo del inicio, mediante la modificación
del archivo WIN.INI (Load=).
Ante la duda, esto puede hacerse incluso si se tiene el verdadero archivo
PTSNOOP.EXE instalado. Para entender esto, veamos que hace el PTSNOOP real.
El verdadero PTSNOOP.EXE
La función de este archivo es estar pendiente de que algún programa solicite
el uso de determinado puerto usado por el módem, para poder asignarle los
recursos del sistema necesarios al establecerse una conexión, y si fuera
necesario, para decidir instalar los drivers del módem (estos módems, del
tipo Winmodem, crean un puerto por software, no físico, utilizando los
recursos del procesador para funcionar).
Técnicamente, se trata de un "virtual port snoop", un archivo que monitorea
el puerto comúnmente llamado "AMR port" o Audio Modem Riser, usados por
ejemplo por los típicos módems integrados a las placas.
Como curiosidad, Ptsnoop puede provocar en ocasiones un error muy común al
intentarse el uso del módem: la aparición del mensaje "el puerto ya está
abierto" o similar, y la imposibilidad de conectarse. Casi siempre, ello se
debe a que PTSNOOP no ha liberado el puerto para el uso del módem.
Algunos antivirus (McAfee y Norton), solían confundirlo en algunas de sus
versiones, con un troyano, por su tipo de actividad, ya que actúa cuando se
intenta establecer una llamada vía módem para conectarse. La existencia del
troyano que describimos en este informe, debe ponernos en alerta, aún cuando
no fuera el caso.
Por otra parte, PTSNOOP puede ser descargado sin que el módem tenga
problemas (al menos en la mayoría de los casos).
Para eliminarlo, busque y borre todos los archivos PTSNOOP.EXE que aparezcan
en su PC.
Edite el archivo C:WINDOWSWIN.INI con el bloc de notas o con SYSEDIT, y
borre las referencias a este archivo en LOAD= o RUN=, de modo que la entrada
quede así:
[Windows]
Load=
Ejecute el REGEDIT y busque esta rama:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Si aparece PTSNOOP en la ventana de la derecha, borre dicha entrada.
Para eliminar el troyano PTSNOOP.EXE
Ejecute un antivirus al día, y luego proceda de la misma manera que se acaba
de indicar para sacar del archivo WIN.INI el verdadero PSTSNOOP.EXE. Borre
el archivo PTSNOOP.EXE.
El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se
recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar
nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al
día.
Búsqueda
Lista de Miembros
Calendario
Ayuda
