svcshoter.exe (SOLUCIONADO)

[kaninox]

Holas no se que sera pero cuando aparece me consume mucha memoria, y me pega el pc, ahora bien voy al administrador y finalizo la tarea pero si tengo abierto el firefox este empieza aumentar su uso de memoria, demasidado llega hasta 40 kb cuando antes siempre ocupaba 12 max 20 o son ideas mias este es mi log

Logfile of HijackThis v1.99.1
Scan saved at 19:09:58, on 07/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\dllcache\svcshoter.exe
C:\Servidor\mysql\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\devldr32.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
E:\lo mejor para virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5D223C-A2CA-4A94-B247-DE0A770242B1}: NameServer = 216.155.73.40 216.155.73.41
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\system32\dllcache\svcshoter.exe
O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe

bueno esto ocurrio cuando instale el macromedia 8 o solo sera por que es mucho programa para los 128 de ram que tengo....
bueno postee mi problema por que ni idea que es el svcshoter.exe saludos....

[kaninox]

creo que les envio una muestra mejor por que investigando es un tipo de troyano que interfiere con la red por ello ahora se me pega el pc y firefox consume mucho mucho como dije...

bueno ojala lo puedan controlar con sus programillas para quitarlo completamente ya que no se si es solo ese archivo o no ud me dice que debo hacer :)

espero haber hecho bien entre a modo prueba de fallos y lo renombre a .VIR segun lo que aprendi aqui no deberia iniciar pero igualmente consume mucho firefox



saludos...

[kaninox]

Disculpe que postee nuevamente pero un amigo me presto el nod32 portable o sea que no se instala y lo corri en mi pc y creo que encontro el archivo el cual me hacia aparecer mi antiguo mal el clown.dll y se los envio de muestra con otros archivos mas les dejo el log que me dio el nod32 portable esta bastante bien les voy a dejar el link de descarga por que vale la pena llevarlo en el pendrive :

por cierto al enviar creo que el guarrilla.dll es muy potente por que me lo detecto hasta el gmail no me dejaba enviarlo ni comprimido en rar con pasword tuve que ponerlo dentro de otra carpeta comprimida en rar tambien, bastante molesto parece este viruelo...

mi log nod 32

Registro de sucesos
NOD32 Scanner versión 2314 (20070606) NT
Comprobación CRC del archivo NOD32.EXE: estado correcto
Ha ocurrido un error mientras se analizaba la memoria operativa. La memoria operativa no puede ser analizada (ha ocurrido un error mientras se cargaba el archivo nod32m1.vxd o durante la comunicación con el servicio de análisis).
Fecha: 7.6.2007 hora: 22:43:05
La inicialización de la Tecnología Anti-Stealth ha fallado. Esta tecnología funcionará de forma limitada.
Discos, carpetas y archivos analizados: C:

Código: Seleccionar todo

C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\496785IF\84785_mysql[1].exe - Win32/IRCBot.UE (Troyano)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\4DAVOTMZ\84785_mysql[1].exe - Win32/IRCBot.UE (Troyano)
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\4HI3G9IJ\84785_mysql[1].exe - Win32/IRCBot.UE (Troyano)
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Under Family\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Under Family\NTUSER.DAT.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Under Family\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Under Family\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Under Family\Datos de programa\Mozilla\Firefox\Profiles\fidrx1od.default\parent.lock - Error abriendo archivo (El archivo está bloqueado) [4]
C:\System Volume Information\MountPointManagerRemoteDatabase - Error abriendo archivo (Acceso denegado) [4]
C:\WINDOWS\system32\guerilla.dll - Win32/IRCBot (Troyano)
C:\WINDOWS\system32\config\default - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\default.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\dllcache\svcshoter.exe.VIR - Win32/IRCBot.UE (Troyano)
C:\WINDOWS\system32\drivers\sptd.sys - Error abriendo archivo (El archivo está bloqueado) [4]
Cantidad de archivos analizados: 43182
Cantidad de amenazas detectadas: 5
Hora de finalización: 22:53:02 . Tiempo total de análisis: 597 seg (00:09:57)
Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.
Fecha: 7.6.2007  hora: 22:59:40
La inicialización de la Tecnología Anti-Stealth ha fallado. Esta tecnología funcionará de forma limitada.
Discos, carpetas y archivos analizados: C:
C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4]
¡Análisis interrumpido por el usuario!
Cantidad de archivos analizados: 5056
Cantidad de amenazas detectadas: 0
Hora de finalización: 23:01:12 . Tiempo total de análisis: 92 seg (00:01:32)
Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.

No quiero eliminar nada aun hasta que me diga que hacer...

[msc hotline sat]

De entrada envíanos este fichero para analizar: C:\WINDOWS\system32\dllcache\svcshoter.exe -> Para ello recordar: viewtopic.php?f=2&t=45334

Aparte, renombra su extension a .VIR y si lo tienes en mas de un sitio, hazlo en todos los que detectes con un Inicio-Buscar-Todas las carpetas y ficheros -> SVCSHOTER.EXE

Tras recibirlo, lo analizaremos e implementaremos su control y eliminación en nuestras utilidades, de lo cual informaremos

saludos
ms, 8-06-2007

nota: Si tienes esta maquina en red con otras, desconectalas todas para hacer lo indicado en todas ellas, y solo cuando lo hayas hecho, puedes volver a juntarlas, sino no te lo sacaras de encima! Se propaga por comparticiones y entra de fuera como un SDBOT, pero si tienes los parches al día y el antivius actualizado no debería haber entrado. Revisalo, de todas las maquinas si tienes mas de una, porque con una por la que entre, ya estas listo. ms.

[kaninox]

pues no pero por msn ? puede propagarse solo con el hecho de hablar? o es necesario que me envien un archivo.. para explicarles a mis hermanillas X)

[msc hotline sat]

No te ha entrado por MSN sino por intrusion via IP, por RPCDCOM, por eso algun ordenador no lo tienes parcheado adecuadamente o falta un antivirus como Dios manda, residente y actualizado.

Los SDBOT son backdoors de IRC que acostumbran a entrar por agujeros de seguridad y se propagan por comparticiones administrativas.

Pero este ademas de backdoor parece que modifica claves atìpicas y sobreescribe ficheros...

saludos
ms, 8-06-2007

[kaninox]

okales ya entendi, pues no tengo maquinas conectadas a la mia, pero es verdad que no he instalao niun antivirus :P esque con el nod instalado anteriormente iniciaba la pc y trataba de eliminar el viruelillo este y se hechaba la conexion a internet, por ello he podido resolver mis problemas ahora sin el instalado pero como dices debe n estar intruseando asi que instalare un firewall como el zone alarm :D

[msc hotline sat]

Algo es algo, aunque yo los cortafuegos los prefiero por hardware...

Pero igualmente conviene actualices parches conn un windowsupdate y uses un buen antivirus residente y actualizado

Y cuando en un par de horas estemos en SATINFO, si has enviado el fichero de marras, podremos analizarlo y proceder en consecuencia

saludos
ms, 8-06-2007

[kaninox]

yo igual los prefiero por hadware pero para ello hay que tener algo de dinerillo :P que no hay, o poner una maquina como firewall a lo mejor si me compro otra pc programo en linux con iptables pero pa varios años ma X), pues tengo actualizado mis parches, solo una duda que antivirus me recomiendas para mi pc que tiene 128 en ram, mmmm que sea livianillo ojala, bueno simpre agradecido de la ayuda que brindas..



saludos..

[msc hotline sat]

Yo uso McAfee enterprise, claro, pero lo importante es que escojas el que prefieras y lo mantengas residente y actualizado, al menos que cuando te infectes haya sido con uno a tu gusto y para cuando quieras, seguro que puedes por no mas de 100 €:

INFORMACIÓN DE CORTAFUEGOS POR HARDWARE, PLUG AND PLAY, BASICO: CORTAFUEGOS POR HARD, PLUG AND PLAY, BASICO

Ya estoy en el trabajo y vamos a analizar tu muestra

saludos
ms, 8-06-2007

[msc hotline sat]

Y perdona, hablé en euros y la última vez que estuve en tu pais no eran admitidos (ni dando el mismo importe que pedian en dolares!!!, se vé que no os gustan los euros :lol: ) pues bien, mas o menos los 100 € que decía son unos 120 US$, y todo el hardware informatico baja dia a dia, asi que pronto, casi regalado... :wink:



saludos



ms, 8-06-2007

[msc hotline sat]

Y para tener opiniones al respecto del antivirus, mira este tema:







Y he mirado por donde estabas y pasé cerca tuyo camino a La Antartida, pues embarqué en Port Montt y todo recto para el Sur del Pacifico, Por el estrecho de Magallanes, y luego el paso de Drake... y por lo que parece estás dentro de Los Lagos (precioso) un poco al Sur de Port Montt, verdad ? Pues justo en un restaurante de Port Montt, donde comimos, no aceptaron euros ni al cambio de 1 x 1 de la tarifa en dolares, es un recuerdo porque regalar un 20 % mas del precio y que ni asi aceptaran la moneda europea... que me dieran a mi esta oportunidda de cambiar a 1 x 1 dolares por euros y me forraba !



Por cierto me han dicho que habias enviado el EXE, una DLL y otros ficheros de imagenes , que no sabemos a qué vienen. Estan en proceso, ya informaremos



saludos



ms, 8-06-2007

[kaninox]

ok gracias como siempre, pues donde yo vivo valdivia queda un poco mas al norte como a 3 horas de puerto montt aca es mucho mas bonito y mas verde, pero bueno puerto montt no deja de tener lo suyo...

sep aca no reciben euros X), aps lo de los archivos que envie son un .dll y dos .exe los envie por que aprovechando que los encontre con el nod32 antes de eliminarlos pense que los querrian de muestra para su analisis y asi implementarlo en su antivirico :)

por sobre todo el .dll que me dio varios problemas para enviar y como salia en el log de arriba me parece que es la base de la creacion del rbot que me infecto en su momento...



saludos esperaremos haber que ocurre :D

[msc hotline sat]

Pensaba que estabas mas al Sur. Así te sobrevolé desde Santiago a Port Montt, pero muy alto... Pero es que las distancias aqui son tan grandes... De arriba a abajo nosotros solo tenemos 1000 km, y vosotros mas de 4000 !



Bueno, a lo nuestro, dices que envias 2 EXES y solo he recibido uno, y otra DLL que es otra historia y que tambien añadiremos al ELITRIIP, como RBOT mientras que el SVCSHOTER es un SDBOT, pero el otro EXE ??? igual se lo ha comido algun antivirus por el camino ... Qué era ???



saludos



ms, 8-06-2007

[kaninox]

1 exe era el mencionado SVCSHOTER y el otro me parece un archivo que creaba el rbot del clown.dll pero estaba como se ve arriba en el log de nod32 en los archivos comunes en carpetas ocultas y muy ocultas, era el mysql[1] algo asi...
debe estar oculto, bueno por cierto inicie a modo seguro y elimine las entradas svcshoter y los dll y estos exe mysql con el nod32 e inicio y parece andar bien pero me fijo que igualmente el firefox me consume basante esta a 45.628 kb y eso qu tengo abierto solo 2 paginas esta y otra el google... bueno realice otro log con el hjt y hay algo raro pero no se ud me dira...

Logfile of HijackThis v1.99.1
Scan saved at 5:05:06, on 08/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Servidor\mysql\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\devldr32.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
E:\lo mejor para virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5D223C-A2CA-4A94-B247-DE0A770242B1}: NameServer = 216.155.73.40 216.155.73.41
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: MySql - Unknown owner - C:/Servidor/mysql/bin/mysqld-nt.exe

esta parte
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

es de sistema ? o lo envio para muestra...
por cierto instale el zone alarmy me detectaba 300 intentos de intrucion en solo 10 minutos, bueno lo saque lo reinstalare pr que lo instale mal y no me daba acceso al internet me decia que se queria conectar el svhost algo asi y le dije que no y no me dejaba X) creo que es el proceso de red u algo asi...

[msc hotline sat]

El log está limpio y la O21 reza: "Windows Media Player Portable Device" normal.



Pues insisto en que solo ha llegado un EXE, el SVCSHOTER.EXE.VIR y la DLL, el primero un SDBOT y el segundo un IRCBOT.wo, que pasamos a controlar con el ELITRIIP 3.63 quee estara diponible para evaluacion a partir de las 20 h GMT de hoy.



saludos



ms, 8-06-2007

[kaninox]

bastante raro a lo mejor y la elimino al enviarla quien sabe, bueno segun ud mi log esta limpio :) tonce solucionado el tema...

a esperar el elitrip para controlar el dll ese...



muchas gracias :) como siempre...

[msc hotline sat]

Pues esta noche lo descarga, lo prueba y nos comenta el resultado posteandonos ademas el contenido de c:\infosat.txt aparte de indicarnos si persiste alguna anomalía o no, gracias

ELITRIIP: http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 8-06-2007

[kaninox]

Fri Jun 08 20:54:37 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Jun 08 20:54:39 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





mi log creo que estamos ok :) solucionamos el problemilla una duda si en la parte de mi teclado, siempre tenia activado solo el NUM y el CAPS que es de las mayusculas pero ese lo manejo yo con el botoncito respectivo pero desde hoy qu eme aparece prendido el Scroll :/ como lo desactivo o me lo activo algo o es una pasada mia numa X)



weno eso saludos gracias como siempre :D

[msc hotline sat]

Mire de desactivarlo desde el setup del BIOS, pero si esto ha sido a causa de este virus, habremos de ver si es que modifica la clave de registro correspondiente ???



No lo observamos en las pruebas, pero ...



Para su conocimiento, en la clave ...Control Panel\Keyboard\InitialKeyboardIndicators



datos como "0", "2", "4", "6", "8"... activan el bloqueo de mayúsculas, la tecla de scroll,.. o una combinación de ambas. Pero eso ya lo cambiaremos nosotros con nuestras utilidades si lo ha modificado el virus, no toque el registro si no está familiarizado , que puede ser peor el remedio que la enfermedad.



Diganos si con lo del SETUP ha logrado solucionar este problema, y en cualquier caso si cree que fue el virus lo que se lo causó o sabe que ha sido otra aplicación ...



saludos



ms, 9-06-2007

[kaninox]

sep lo solucione con el setup gracias :)

[msc hotline sat]

Pues ya todo arreglado, damos el Tema por solucionado y procedemos a cerrarlo

si nos necesitas de nuevo,. ya sabes donde estamos

saludos
ms, 9-06-2007