Nuevos virus!

[Limker]

Buenas, les cuento mi problema, tengo en mi otra pc unos (supuestos virus). estos estan en forma de proceso , llamados:



iywqdf.exe

dmecvcm.exe





y otro mas que era uno turco, pero es mas raro aun!, porque unas veces aparece y otras veces no!, y a veces se oculta tomando el nombre de otro proceso de windows como winlongon.exe .



y por lo que encontre en google, el "iywqdf.exe" es un virus chino o algo asi....



OTRA COSA IMPORTANTE!!



Al parecer algunos de estos virus no me deja iniciar mi programa antivirus NOD32, no inicia ni automaticamente por autorun, ni manualmente . :S :cry:



Tampoco me deja activar la opcion para Ver los archivos y carpetas ocultas. :?

[msc hotline sat]

Pues primero prueba si los detecta y elimina el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y si no lo detecta, envianos dichos ficheros y los analizaremos para controlarlos en la proxima version:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos





ms, 19-07-2007

[Limker]

Ya pase el ELISTARA y estos fueron los resultados:





Thu Jul 19 10:05:20 2007

EliStartPage v14.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\360rpt.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\360Safe.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\360tray.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\adam.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\AgentSvr.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\AppSvc32.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\autoruns.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\avconsol.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\avgrssvc.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\AvMonitor.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\avp.com"

Eliminada Clave "HKLM\...\Image File Execution Options\avp.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\CCenter.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\ccSvcHst.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\EGHOST.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\FileDsty.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\FTCleanerShell.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\FYFireWall.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\HijackThis.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\IceSword.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\iparmo.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Iparmor.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\isPwdSvc.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\kabaload.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KaScrScn.SCR"

Eliminada Clave "HKLM\...\Image File Execution Options\KASMain.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KASTask.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KAV32.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KAVDX.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KAVPF.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KAVPFW.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KAVSetup.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KAVStart.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KISLnchr.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KMailMon.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KMFilter.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KPFW32.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KPFW32X.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KPfwSvc.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KRegEx.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KRepair.com"

Eliminada Clave "HKLM\...\Image File Execution Options\KsLoader.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KVCenter.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\KvDetect.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KvfwMcl.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KVMonXP.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\KVMonXP_1.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\kvol.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\kvolself.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KvReport.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\KVScan.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\KVSrvXP.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KVStub.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\kvupload.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\kvwsc.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KvXP.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\KvXP_1.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\KWatch.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KWatch9x.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KWatchX.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\loaddll.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\MagicSet.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\mcconsol.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\mmqczj.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\mmsk.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Navapsvc.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Navapw32.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\nod32.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\nod32krn.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\nod32kui.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\NPFMntor.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\PFW.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\PFWLiveUpdate.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\QHSET.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\QQDoctor.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\QQKav.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Ras.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Rav.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\RavMon.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\RavMonD.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\RavStub.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\RavTask.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\RegClean.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\rfwcfg.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\rfwmain.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\rfwsrv.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\RsAgent.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Rsaupd.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\runiep.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\safelive.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\scan32.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\shcfg32.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\SmartUp.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\SREng.EXE"

Eliminada Clave "HKLM\...\Image File Execution Options\symlcsvc.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\SysSafe.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\TrojanDetector.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Trojanwall.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\TrojDie.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\UIHost.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\UmxAgent.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\UmxAttachment.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\UmxCfg.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\UmxFwHlp.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\UmxPol.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\upiea.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\UpLive.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\vsstat.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\webscanx.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\WoptiClean.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 19 10:05:27 2007

EliStartPage v14.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



NOTA:



EL virus no fue eliminado, todavia sigue ahi...

[msc hotline sat]

Pues tal como decimos:



"y si no lo detecta, envianos dichos ficheros y los analizaremos para controlarlos en la proxima version:





Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334 "





saludos



ms, 19-07-2007

[Limker]

Pero es que no se donde estan los virus! , solo veo el proceso en el ADMINISTRADOR DE TAREAS, pero no se donde se encuentran!

[msc hotline sat]

Pues busque estos dos ficheros con un Iniico -> Buscar -> Todos los ficheros y carpetas -> <nombre del fichero a buscar>



iywqdf.exe

dmecvcm.exe





y envienoslos en la forma que indicamos anteriormente.



saludos



ms, 20-07-2007

[Limker]

Segun el SPROCES (Satinfo) , estos dos procesos se encuentran en \Windows \System32 Pero, no los encuentro manualmente, creo que estan escondidos, pero no puedo ver los archivos ocultos, y el buscador de windows no me encuentra esos procesos, QUE HAGO!?

[msc hotline sat]

Hagalo con el Inicio-> Buscar , pero arrancando en modo seguro



saludos



ms, 30-07-2007

[Limker]

al parecer este virus daña el incio en modo seguro, y en otros modos que no sea el NORMAL, tengo este virus en 2 computadoras, y en ninguna se puede arrancar en modo seguro.

[msc hotline sat]

Pues vea que ademas no tenga algun Bagle, que se caracteriza por no dejar arrancar en modo seguro:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 30-07-2007