Troyano windows sistem32 svchost.exe (SOLUCIONADO)

No sabes qué desactivar de tu navegador. El staff de zonavirus te ayudara en el Foro HijackThis, copia y pega el log de Hitjackthis.
Cerrado
Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Troyano windows sistem32 svchost.exe (SOLUCIONADO)

Mensaje por Carlos X » 02 Sep 2011, 15:28

Hola, llevo varios días con este troyano o virus en mi pc, me salta varias veces a lo largo del día el antivirus avast advirtiendo de una web maliciosa que es la que os menciono arriba, el avast al escanear no lo detecta, hice un análisis completo al arranque y me dijo que había 13 archivos infectados, le he pasado el spybot y el malwarebytes y me da resultado de que no hay nada mal, pero anoche hice un escaneo online con panda scan active y me dio el siguiente resultado:



ANALYSIS: 2011-09-02 02:42:15

PROTECTIONS: 1

MALWARE: 3

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

avast! Antivirus 5.0.100664499 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\documents and settings\propietario\cookies\d8bkcg2t.txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\documents and settings\propietario\cookies\ob2jq9ei.txt

03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\archivos de programa\lg electronics\lg pc suite iii\usb setup\silent_uninstall.exe

;===================================================================================================================================================================================

SUSPECTS

Sent Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description

;===================================================================================================================================================================================

206981 HIGH MS09-007

;===================================================================================================================================================================================

Por otro lado le acabo de pasar el HijackThis y aparece windows sistem32 svchost.exe, os paso el log:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 15:08:29, on 02/09/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast5\avastUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACService.exe

C:\NETFINCAS\NETFINCAS\GESTOR\bin\ibguard.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\NETFINCAS\NETFINCAS\GESTOR\bin\ibserver.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\msiexec.exe

C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Archivos de programa\Vuze_Remote\prxtbVuz2.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\Alwil Software\Avast5\aswWebRepIE.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Archivos de programa\Vuze_Remote\prxtbVuz2.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Archivos de programa\Vuze_Remote\prxtbVuz2.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\Alwil Software\Avast5\aswWebRepIE.dll

O4 - HKLM\..\Run: [avast5] "C:\Archivos de programa\Alwil Software\Avast5\avastUI.exe" /nogui

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] ~"C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.cert.fnmt.es

O15 - Trusted Zone: http://*.fnmt.es

O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (BitDefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\NETFINCAS\NETFINCAS\GESTOR\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\NETFINCAS\NETFINCAS\GESTOR\bin\ibserver.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe



--

End of file - 9994 bytes



Espero vuestra solución para eliminar el bicho este y que me deje tranquilo por fin.

Gracias de antemano y saludos.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90647
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por msc hotline sat » 02 Sep 2011, 16:57

Pues descarga el ELISTARA.EXE y el SPROCES.EXE



Luego arranca en MODO SEGURO y lanzalos en dicho modo, y nos posteas los informes resultantes:




[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]




Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]


lo analizaremos e informaremos al respecto.



saludos



ms, 2-9-2011

Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Re: Troyano windows sistem32 svchost.exe

Mensaje por Carlos X » 02 Sep 2011, 18:11

Hola nuevamente, os envío el resultado del escaneo de Elistara, si bien hice un escaneo en modo normal, no seguro, y cuando llevaba dos o tres minutos detectó 4 archivos infectados y 4 por tanto eliminados, me acordé de que había que hacer el análisis en modo seguro, comencé de nuevo y este de aquí es el resultado en modo seguro:



(2-9-2011 15:01:50 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Propietario

ID de Usuario: S-1-5-21-1644491937-492894223-725345543-1003



Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.

Eliminada Carpeta "%Archivos de Programa%\Search Settings"

Eliminada Carpeta "%Favoritos%\Software"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectada Posible Infección del MBR con Técnicas Stealth.



(2-9-2011 15:18:13 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Propietario

ID de Usuario: S-1-5-21-1644491937-492894223-725345543-1003



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\ConduitEngine\CONDUITENGIN0.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\Realtek\Audio\Drivers\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\Vuze_Remote\TBVUZ1.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\Vuze_Remote\TBVUZE.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 5037

Nº Total de Ficheros: 58315

Nº de Ficheros Analizados: 19004

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Exploración Detenida por el Usuario.



(2-9-2011 15:30:23 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Propietario

ID de Usuario: S-1-5-21-1644491937-492894223-725345543-1003



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectada Posible Infección del MBR con Técnicas Stealth.



(2-9-2011 15:41:09 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Propietario

ID de Usuario: S-1-5-21-1644491937-492894223-725345543-1003



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7144

Nº Total de Ficheros: 67502

Nº de Ficheros Analizados: 21081

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-9-2011 15:46:26 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Propietario

ID de Usuario: S-1-5-21-1644491937-492894223-725345543-1003



Lista de Acciones (por Acción Directa):

Detectada Posible Infección del MBR con Técnicas Stealth.



Asimismo, os paso el resultado de análisis de Sproces:



(2-9-2011 15:50:24 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: USUARIO-F5D2FE5

Usuario: Propietario

Sesión de Usuario: Propietario



13 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST5\AVASTUI.EXE

C:\ARCHIVOS DE PROGRAMA\WINRAR\WINRAR.EXE

C:\DOCUME~1\PROPIE~1\CONFIG~1\TEMP\RAR$EX00.843\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Archivos de programa\Vuze_Remote\prxtbVuz2.dll

F2 - REG:system.ini: Taskman=

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\Alwil Software\Avast5\aswWebRepIE.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Archivos de programa\Vuze_Remote\prxtbVuz2.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Archivos de programa\Vuze_Remote\prxtbVuz2.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\prxConduitEngine.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\Alwil Software\Avast5\aswWebRepIE.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] ~"C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [avast5] "C:\Archivos de programa\Alwil Software\Avast5\avastUI.exe" /nogui

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab

O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (BitDefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O22 - ShellExecuteHooks: - {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll

O22 - ShellExecuteHooks: - {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Información Adicional:

----------------------

WinSys\Drivers\aswSnx.sys (de 441176 bytes) () AVAST Software

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\sptd.sys (de 717296 bytes) ()



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\NETFINCAS\NETFINCAS\GESTOR\bin\ibguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys

O23 - Service: Ambfilt - Creative - C:\WINDOWS\SYSTEM32\drivers\Ambfilt.sys

O23 - Service: CrystalSysInfo - Unknown owner - C:\Archivos de programa\MediaCoder\SysInfo.sys

O23 - Service: OMNIKEY 3x21 (cxbu0wdm) - HID Global Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\cxbu0wdm.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: GemCCID - Gemalto - C:\WINDOWS\SYSTEM32\Drivers\GemCCID.sys

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\NETFINCAS\NETFINCAS\GESTOR\bin\ibserver.exe

O23 - Service: LGE Bluetooth TransPort (LgBttPort) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgbtport.sys

O23 - Service: LG Bluetooth Bus Enumerator (lgbusenum) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgbtbus.sys

O23 - Service: LG Mobile driver (WDM) (lgmdbus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdbus.sys

O23 - Service: LG Mobile USB WMC Modem Filter (lgmdmdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmdfl.sys

O23 - Service: LG Mobile USB WMC Modem Driver (lgmdmdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmdm.sys

O23 - Service: LG Mobile USB WMC Device Management Drivers (WDM) (lgmdmgmt) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdmgmt.sys

O23 - Service: LG Mobile USB WMC OBEX Interface (lgmdobex) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lgmdobex.sys

O23 - Service: LGE Virtual Modem (LGVMODEM) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgvmodem.sys

O23 - Service: Monfilt - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\Monfilt.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce 10/100/1000 Mbps Ethernet (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: RkHit - Unknown owner - C:\WINDOWS\system32\drivers\RKHit.sys (file missing)

O23 - Service: REALTEK 2832U BDA Driver (RTL2832UBDA) - REALTEK SEMICONDUCTOR Corp. - C:\WINDOWS\SYSTEM32\drivers\RTL2832UBDA.sys

O23 - Service: REALTEK 2832U USB Driver (RTL2832UUSB) - REALTEK SEMICONDUCTOR Corp. - C:\WINDOWS\SYSTEM32\Drivers\RTL2832UUSB.sys

O23 - Service: HID Infrared Remote Receiver (RTL2832U_IRHID) - Realtek - C:\WINDOWS\SYSTEM32\DRIVERS\RTL2832U_IRHID.sys

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: DVB-T TV Stick (smsbda) - Siano - C:\WINDOWS\SYSTEM32\drivers\smsbda.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



42 Servicios.

7 de Carga Automatica.

32 de Carga Manual.

3 Deshabilitados.



Esperando vuestra ayuda sobre qué hacer al respecto, gracias.

Avatar de Usuario
lucl
Moderador
Moderador
Mensajes: 6505
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por lucl » 02 Sep 2011, 21:05

Ya que elistara nos avisa



Detectada Posible Infección del MBR con Técnicas Stealth





arranca con el CD de instalacion, pulsa R para entrar en Consola de Recuperacion y desde alli ejecuta FIXMBR <ENTER> .



Y sobre sproces a ver que te dice Msc que es el experto, saludos.

Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Re: Troyano windows sistem32 svchost.exe

Mensaje por Carlos X » 02 Sep 2011, 22:01

Saludos lucl, he metido el cd de instalación pero me dice que la versión que tengo es más actual que la del cd, que tiene ya varios años. Supongo que la última vez que el técnico me arregló el pc hace unos meses me actualizaría a una versión más moderna.

Ahora os pregunto que debo hacer para tratar de limpiar bien y asegurarme que no hay infección, quedandome tranquilo de esa forma de no tener bichos en el pc.

Saludos.

Avatar de Usuario
lucl
Moderador
Moderador
Mensajes: 6505
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por lucl » 03 Sep 2011, 09:56

Pues es que lo del cd es necesario que lo hagas para lo del mbr. ¿Conoces a alguien que te pueda prestar su cd que tenga xp con sp3 incluido para poder hacerlo? En cuanto a este (en negrita)



03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\archivos de programa\lg electronics\lg pc suite iii\usb setup\[b]silent_uninstall.exe[/b]



Prueba a subirlo a analizar a virustotal y veamos que te da el log. Te lo analizaran varios antivirus, y si da virico nos lo envias para darte la herramienta necesaria. Arriba a la derecha tienes la pestaña de envio muestras, lo empaquetas con winrar y le pones de contraseña la palabra virus para que no lo intercepte el servidor.Las otras dos detecciones son cookies, lo raro es que spybot no te las haya quitado Vuelve a pasarlo y dinos si te los quita. La pagina para analizar el archivo es



www.virustotal.com



Y nos comentas resultados, saludos.

Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Re: Troyano windows sistem32 svchost.exe

Mensaje por Carlos X » 03 Sep 2011, 15:00

Qué tal lucl. Lo del cd de instalación intentaré localizar a alguien que me lo pueda dejar, de momento no lo puedo hacer porque no lo tengo.

Os he enviado hace algunos minutos el resultado del escaneo en virus total como me comentaste en winrar y con la contraseña. Algunos no dan nada raro pero otros muchos sí.

En cuanto al Spybot acabo de hacer otro análisis y no detecta nada, pero es curioso que consulto en cookies y hay como 40 o 50 del explorer, netscape y mozilla, yo no marqué ninguna casilla para que no los eliminara y siguen ahí, he consultado en excepciones y no tengo ninguna cookie marcada para no eliminar. Las dos primeras cookies del listado estan las letras en rojo "atdmt.com/AA002 y atdmt.com/MUID y navegador Chrome:Chrome".

Por cierto, el antivirus avast me ha saltado varias veces ya advirtiendo lo mismo de url maliciosa windows sistem32 svchost.exe.

Espero vuestra solución para eliminar el virus porque sigue instalado ahí.

Gracias.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90647
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por msc hotline sat » 03 Sep 2011, 18:59

Pues posteanos el informe del informe de virustotal, asi podremos ver lo que detectan y ofrecerte la solucion que tengamos para ello.



Aparte, como muy bien te decia lucl, envianos muestra del fichero de marras para analizar y controlar.


[quote="lucl"]03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\archivos de programa\lg electronics\lg pc suite iii\usb setup\silent_uninstall.exe



Prueba a subirlo a analizar a virustotal y veamos que te da el log. Te lo analizaran varios antivirus, y si da virico nos lo envias para darte la herramienta necesaria. Arriba a la derecha tienes la pestaña de envio muestras, lo empaquetas con winrar y le pones de contraseña la palabra virus para que no lo intercepte el servidor.Las otras dos detecciones son cookies, lo raro es que spybot no te las haya quitado Vuelve a pasarlo y dinos si te los quita. La pagina para analizar el archivo es
[/quote]


saludos



ms, 3-9-2011

Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Re: Troyano windows sistem32 svchost.exe

Mensaje por Carlos X » 03 Sep 2011, 21:43

Os mandé a través de envío de muestras el resultado del escaneo de virus total, lo vuelvo a enviar ahora. Decidme algo si no os llega dicho análisis.

Por otro lado, hace unos minutos desactivé la casilla de restaurar sistema y reinicié en modo seguro, le pasé el Spybot y me detectó "Right Media", llevándolo a cuarentena.

También le volví a pasar Malwarebytes y Avast y no han detectado nada malo. Sin embargo, Avast me acaba de avisar por medio de un recuadro rojo tres veces, como me viene ocurriendo estos días: Objeto 50.7.245.170 Url: mal y Windows sistem32 svchost.exe.

Espero me déis la solución porque esto parece que es complicado que se vaya fácilmente.

Gracias de nuevo.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90647
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por msc hotline sat » 04 Sep 2011, 09:36

Por mail solo debes enviarnos las muestras de los ficheros sospechosos que te pidamos...



El informe del VirusTotal debes postearlo en tu proximo post, de respuesta a este Tema, esto es, seleccionar su contenido y, con un COPIAR y PEGAR, incluirlo en tu siguiente post, gracias.



saludos



ms, 4-9-2011

Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Re: Troyano windows sistem32 svchost.exe

Mensaje por Carlos X » 04 Sep 2011, 13:05

De acuerdo, os envío por aquí el resultado del análisis de virus total:



Antivirus Version Last Update Result

AhnLab-V3 2011.09.02.01 2011.09.02 -

AntiVir 7.11.14.90 2011.09.02 -

Antiy-AVL 2.0.3.7 2011.09.03 -

Avast 4.8.1351.0 2011.09.02 -

Avast5 5.0.677.0 2011.09.02 -

AVG 10.0.0.1190 2011.09.03 -

BitDefender 7.2 2011.09.03 Backdoor.Generic.329107

ByteHero 1.0.0.1 2011.09.01 -

CAT-QuickHeal 11.00 2011.09.03 -

ClamAV 0.97.0.0 2011.09.02 Trojan.Dropper-18547

Commtouch 5.3.2.6 2011.09.03 W32/Backdoor2.EWNW

Comodo 9977 2011.09.03 TrojWare.Win32.TrojanDropper.Small.ty

DrWeb 5.0.2.03300 2011.09.03 -

Emsisoft 5.1.0.11 2011.09.03 Backdoor.SuspectCRC!IK

eSafe 7.0.17.0 2011.09.01 Win32.Backdoor

eTrust-Vet 36.1.8537 2011.09.02 -

F-Prot 4.6.2.117 2011.09.02 W32/Backdoor2.EWNW

F-Secure 9.0.16440.0 2011.09.03 Backdoor.Generic.329107

Fortinet 4.3.370.0 2011.09.03 -

GData 22 2011.09.03 Backdoor.Generic.329107

Ikarus T3.1.1.107.0 2011.09.03 Backdoor.SuspectCRC

Jiangmin 13.0.900 2011.09.02 -

K7AntiVirus 9.111.5083 2011.09.02 Trojan

Kaspersky 9.0.0.837 2011.09.03 -

McAfee 5.400.0.1158 2011.09.03 Artemis!84D1E93DA49F

McAfee-GW-Edition 2010.1D 2011.09.02 Heuristic.BehavesLike.Win32.Downloader.H

Microsoft 1.7604 2011.09.03 -

NOD32 6432 2011.09.03 probably a variant of Win32/Agent.GNAJRYT

Norman 6.07.11 2011.09.03 W32/DLoader.ANEVB

nProtect 2011-09-03.01 2011.09.03 -

Panda 10.0.3.5 2011.09.03 Trj/CI.A

PCTools 8.0.0.5 2011.09.03 Trojan.Generic

Prevx 3.0 2011.09.03 -

Rising 23.73.01.03 2011.08.30 Trojan.Win32.Generic.12534CA4

Sophos 4.69.0 2011.09.03 Mal/Generic-L

SUPERAntiSpyware 4.40.0.1006 2011.09.03 Trojan.Agent/Gen-FraudLoad

Symantec 20111.2.0.82 2011.09.03 Trojan Horse

TheHacker 6.7.0.1.290 2011.09.03 -

TrendMicro 9.500.0.1008 2011.09.03 TROJ_GEN.R15C3J8

TrendMicro-HouseCall 9.500.0.1008 2011.09.03 TROJ_GEN.R15C3J8

VBA32 3.12.16.4 2011.09.02 -

VIPRE 10356 2011.09.03 Trojan.Win32.Generic!BT

ViRobot 2011.9.3.4655 2011.09.03 -

VirusBuster 14.0.199.0 2011.09.02 Backdoor.Agent2!Vn573jeQtdY

Additional informationShow all

MD5 : 84d1e93da49fc30066476906693d2965

SHA1 : 8de8f4516976103fa48aee6d9f93580097e9abde

SHA256: 59d825cb4473eb81d7cb3c1c6a53d4c6c497edb63e36781874b652615adb7332

ssdeep: 768:YZ8tPwAebcP3rJCRntj6JuHStK49NjsOI33mQKzDmwYn2eXWxdQ4x5WOMMuiIvmf:YgDQRn

x6JuH2js2nzhl31VXsrNbdm

File size : 60416 bytes

First seen: 2009-08-18 18:24:59

Last seen : 2011-09-03 11:16:09

TrID:

Win32 Executable Generic (38.4%)

Win32 Dynamic Link Library (generic) (34.1%)

Win16/32 Executable Delphi generic (9.3%)

Generic Win/DOS Executable (9.0%)

DOS Executable Generic (9.0%)

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned



PEInfo: PE structure information



[[ basic data ]]

entrypointaddress: 0xC888

timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)

machinetype......: 0x14c (I386)



[[ 8 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

CODE, 0x1000, 0xC0A0, 0xC200, 6.42, ac784ea16841073abea86b06efd8fea7

DATA, 0xE000, 0x478, 0x600, 3.27, 29fac131dd3d6c31ace3614b946a8db2

BSS, 0xF000, 0x18B9, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e

.idata, 0x11000, 0x91E, 0xA00, 4.52, 2564459ef836c81cff96885588ac0001

.tls, 0x12000, 0x8, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e

.rdata, 0x13000, 0x18, 0x200, 0.21, 21931ab3ad56db7fd1e61d39df119e88

.reloc, 0x14000, 0x1234, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e

.rsrc, 0x16000, 0x1228, 0x1400, 4.67, 4eee8d991dc4a01f5e71ab0acfcdaf78



[[ 8 import(s) ]]

kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, WideCharToMultiByte, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle

user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA

advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey

oleaut32.dll: SysFreeString

kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA

kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SizeofResource, SetFilePointer, SetFileAttributesA, SetEnvironmentVariableA, SetEndOfFile, ReadFile, LockResource, LoadResource, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalAlloc, GetWindowsDirectoryA, GetVersionExA, GetThreadLocale, GetTempFileNameA, GetStringTypeExA, GetStdHandle, GetShortPathNameA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetDiskFreeSpaceA, GetCommandLineA, GetCPInfo, GetACP, FreeResource, FormatMessageA, FindResourceA, EnumCalendarInfoA, DeleteFileA, CreateProcessA, CreateFileA, CompareStringA, CloseHandle

user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharPrevA, CharNextA, CharToOemA

SHFolder.dll: SHGetFolderPathA



ExifTool:

file metadata

CodeSize: 49664

EntryPoint: 0xc888

FileSize: 59 kB

FileType: Win32 EXE

ImageVersion: 0.0

InitializedDataSize: 9728

LinkerVersion: 2.25

MIMEType: application/octet-stream

MachineType: Intel 386 or later, and compatibles

OSVersion: 4.0

PEType: PE32

Subsystem: Windows GUI

SubsystemVersion: 4.0

TimeStamp: 1992:06:20 00:22:17+02:00

UninitializedDataSize: 0

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90647
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por msc hotline sat » 04 Sep 2011, 13:11

Pues envianos dicho fichero



c:\archivos de programa\lg electronics\lg pc suite iii\usb setup\silent_uninstall.exe



y dado que algunos lo consideran backdoor y otros downloader, lo controlaremos con ELITRIIP o ELISTARA segun veamos.



recuerda:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 4-9-2011

Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Re: Troyano windows sistem32 svchost.exe

Mensaje por Carlos X » 04 Sep 2011, 17:56

Acabo de enviaros por envío de muestras tres archivos que hay en uninstall.exe.

Ahora no veo específicamente silent uninstall.exe, por eso os mando los tres archivos de uninstall. Quizás es que al pasarle este medio día el Ad-Aware al pc detectó elementos malignos y los envié a cuarentena, limpiándolos posteriormente de las infecciones que había.

Asimismo, os comento que mi antivirus Avast no para de avisar con el mensaje de que el archivo Windows/Temp/conhost.exe pretende ser abierto por Windows sistem32 svchost.exe. preguntándome el Avast la acción a realizar:

-abrir con sandbox (recomendado)

-cancelar apertura o

-abrir con normalidad.

Yo le estoy diciendo cancelar apertura, supongo que será lo mejor, no?

Os digo esto porque salta constantemente y creo que a lo mejor os puede orientar también.

Saludos.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90647
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por msc hotline sat » 04 Sep 2011, 18:41

Sí, cancela su ejecucion y envianoslo para analizar:



Windows/Temp/conhost.exe



y prueba el ELITRIIP.EXE :




[quote="para DESCARGAR el ELITRIIP, msc"]
http://www.zonavirus.com/descargas/descargar-elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso [/quote]




probablemente sea una variante del BackDoor.CycBot ...



saludos



ms, 4-9.2011

Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Re: Troyano windows sistem32 svchost.exe

Mensaje por Carlos X » 04 Sep 2011, 20:03

He descargado Elitrip y no me deja escanear completamente, pues dos veces lo he intentado y se va solo, se corta, por eso no puedo enviar el resultado, supongo que el programa estará fallando, no? Al principio me pregunta si quiere que bloquee TCP 445 le doy que sí y me dice que intruso bloqueado. Me pregunta si quiere que quite archivos temporales y cola de impresión, le he dicho que sí, después de esto empieza a escanear pero se corta solo.

Por otra parte, no encuentro en windows temp ninguna carpeta que ponga conhost.exe, incluso le he dado a ver carpetas y archivos ocultos y no me pareció ver nada con ese nombre.

A todo esto la ventana del Avast con lo de cancelar apertura de windows temp conhost.exe que no se cansa de saltar constantemente.

Os pido me comentéis que debo hacer ahora.

Espero vuestra ayuda porque esto se hace interminable.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90647
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por msc hotline sat » 05 Sep 2011, 07:39

El programa no falla, es problema de los temporales, que igual no los borras habitualmente y tienes un montón...



Pero dile que no los elimine, a ver si asi se lo salta y sigue hasta el final.



Aparte, una vez terminado esto, desde el IE -> Herramientas -> opciones de Internet, borra los temporales.



Y tras reiniciar, nos cuentas el resultado.



saludos



ms, 5-9-2011

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90647
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por msc hotline sat » 05 Sep 2011, 11:39

Recibidos varios ficheros para analizar, no se detectan rutinas viricas en ellos.



Sigue con lo indicado, y si persistiera el problema del ELITRIIP, lanza primero una comprobacion de errores desde MIPC -> Botón derecho sobre disco C: -> propiedades -> herramientas -> comprobar errores



y nos cuentas tus progresos al respecto, gracias



saludos



ms, 5-9-2011

Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Re: Troyano windows sistem32 svchost.exe

Mensaje por Carlos X » 05 Sep 2011, 14:36

Bien, he borrado los archivos temporales, cookies y he reiniciado.



El Elitriip me ha escaneado por dos veces, la segunda despues de reiniciar el pc, durante seis o siete minutos ha analizado, al principio me preguntó "si quería que bloqueara intrusión en TCP 445", no se a que intrusión se refería pero me lo ha bloqueado, ayer también me salió este mensaje al principio del Elitriip. Le he marcado que no elimine temporales pero de pronto terminó al cabo de varios minutos, como digo, sin que me dejara archivo de texto para ver resultados.

He comprobado errores del disco duro, lo ha hecho en las tres fases sin que me advierta de ningún error.



Por otro lado, el Avast sigue advirtiéndome constantemente "archivo Windows/temp/conhost.exe" abierto por "Windows sistem32 svchost.exe" le sigo marcando siempre la opción que cancele la apertura como me comentásteis ayer.

Igual es que hay que hacer algo con el Avast, reiniciar o volver a instalar, aunque supongo que quitar el antivirus sin saber seguro si hay algo maligno no creo que sea lo más oportuno.



Ya me diréis que debo hacer ahora para asegurarnos de que no hay ningún troyano oculto. Si es así supongo que el Avast dejaría de advertirme sobre esa posible intrusión.



Saludos.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90647
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por msc hotline sat » 05 Sep 2011, 20:12

Pues arranca en MODO SEGURO CON FUNCIONES DE RED y mira si con un Inicio -> Buscar envuentras este CONHOST.EXE , y en tal caso, envianoslo para analizar:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-9-2011

Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Re: Troyano windows sistem32 svchost.exe

Mensaje por Carlos X » 06 Sep 2011, 12:51

He reiniciado en modo seguro con funciones de red y en buscar conhost.exe no sale nada.



De todas formas ayer tarde un amigo me comentó que le pasara el DTTSKiller, que es una herramienta muy buena para detectar Rootkits y así fue, pues detectó windows sistem32 svchost.exe, lo eliminé y desde entonces no me ha vuelto a saltar el Avast advirtiéndome de la apertura de windows/temp/conhost.exe por el citado bicho.



Salvo que me aconsejéis algo más para desinfectar y limpiar el pc, doy por solucionado el problema, cruzando los dedos.



Por ello, os agradezco mucho vuestro interés y ayuda para solventar el tema.



Gracias y saludos.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90647
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por msc hotline sat » 06 Sep 2011, 15:15

Pues ya habías dicho que te detectaba un SVCHOST.EXE lanzado desde la carpeta de sistema, y no habiamos hecho caso, porque con este nombre y esta ruta, es el lanzador de tareas de windows... Si ahora dices que lo ha detectado el DTTSKiller (que no conzco) creo que algo está mal escrito, pues de lo contrario te habrías cargado parte importante del sistema !!! Quizas querías decir SCVHOST.EXE, o la ruta es c:\windows\system\, sin el 32, pero tal como dices, "detectó windows sistem32 svchost.exe", OJOOOOO !!! que si dice sistem32 y no system32, ahí estaba el kit de la cuestión, confirma que dijera sistem32, lo cual no es del sistema !!!, y en tal caso el SVCHOST.EXE no era el del sistema, y se nos pasó por alto :oops:



No es excusa, sino que usan toda la picardía del mundo para despistar y engañar a usuarios y técnicos... había visto alguna vez usar system en lugar de system32, pero lo de sistem32 en lugar de system32... tiene su picaresca !



Esperamos nos confirmes dicha ruta, gracias



saludos



ms, 6-9-2011

Carlos X
Novato
Novato
Mensajes: 11
Registrado: 02 Sep 2011, 15:17

Re: Troyano windows sistem32 svchost.exe

Mensaje por Carlos X » 06 Sep 2011, 17:30

Efectivamente está mal escrito, es TDSSKiller y me detectó ese archivo, ya tengo dudas si con "i" o con"y" pero claramente ponía svchost.exe y me advertía como rootkit TDL4, con lo cual no dudé en eliminar. De hecho no me ha vuelto a salir la ventana del Avast con ese aviso de apertura de conhost.exe.

No se si queda claro con mi explicación, pero parece evidente que eliminado está el bicho.

Gracias y saludos.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90647
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Troyano windows sistem32 svchost.exe

Mensaje por msc hotline sat » 06 Sep 2011, 17:58

Pues sería sistem con i latina, pues el SVCHOST.EXE de C:\windows\system32\ aun debe tenerlo para poder utilizar windows !



Pues ya aclarado, damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 6-9-2011

Cerrado

Volver a “Foro HijackThis - copia y pega tu log”