problema con wigon.Z y agent.nbt (CERRADO)

lucaso · Mensaje por **lucaso** » 07 Sep 2007, 16:14

~~[b]~~Hola:[/b]

Necesito ayuda, tengo los siguientes problemas:

Ventana de aviso nº1 de nod32:

c:/docume~1/config~1/temp/219149.exe

win32/wigon.Z (troyano)

Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\Archivos de programa\Internet

Explorer\IEXPLORE.EXE. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

(cada vez que reinicio la pc me aparece un archivo diferente en la capeta temp)

Ventana de aviso nº2 de nod32:

c:/windows/system32/drivers/smtpdrv.sys

win32/agent.nbt ( gusano de internet)

Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

Una cosa que veo es que se ejecuta solo IEXPLORE.EXE ( lo veo en el administrador de tareas en procesos )

~~[b]~~Informes:[/b]

Fri Sep 07 09:16:57 2007

EliStartPage v14.59 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\Documents and Settings\pc\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Eliminada Class, "{147A976E-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminado Servicio, "runtime"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Sep 07 09:18:20 2007

EliStartPage v14.59 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Fri Sep 07 09:21:44 2007

EliStartPage v14.59 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Sep 07 09:22:01 2007

EliStartPage v14.59 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\pc\Mis documentos\Utilidades\programas\Macromedia-8-esp\KEYGEN.EXE --> Eliminado,

KeyGen.ZWT

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch(inf)

Fri Sep 07 09:29:44 2007

EliStartPage v14.59 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Fri Sep 07 10:05:27 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Sep 07 10:14:24 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Sep 07 10:14:44 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\pc\Mis documentos\Utilidades\programas\2_Quark Xpress 6 Multilanguage For Windows With

Serial\Quark.XPress.v6.build.1341._FOR_WINDOWS_WITH.SERIAL\QuarkXPress60 Win 1341\Autorun.inf --> Eliminado,

BackDoor.CMQ (inf)

Fri Sep 07 10:20:22 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

~~[b]~~más informes:[/b]

Fri Sep 07 10:50:38 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 1

Internet Explorer: (v6.0.2800.1106) ;SP1;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\USERINIT.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\PC\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} -

%SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\pc\Datos de

programa\spoolsv.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat

6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Yahoo Toolbar - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - C:\WINDOWS\System32\yatool.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de

programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -

http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -

http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) -

http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in) -

http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -

http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{626F32FB-FA9B-4012-9BD9-CA4B05EC11C2}: NameServer = 10.0.0.2

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} -

C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} -

C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: MHePN - {DCCF23AA-7665-8900-1FCE-9574B7FD94A7} - (no file)

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui -

%SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de

componente - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - COM+ Service - (no file)

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\System32\drivers\amon.sys

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos

comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de

programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\svchost.exe:ext.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss

(file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. -

C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software -

C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eplpdx02 - MK Systems CO., LTD. - C:\WINDOWS\System32\Drivers\EPLPDX02.SYS

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner -

C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia

Shared\Service\Macromedia Licensing.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio Enumerator (nvax) - NVIDIA Corporation -

C:\WINDOWS\SYSTEM32\drivers\nvax.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENET) - NVIDIA Corporation -

C:\WINDOWS\SYSTEM32\DRIVERS\NVENET.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio (nvnforce) - NVIDIA Corporation -

C:\WINDOWS\SYSTEM32\drivers\nvapu.sys

O23 - Service: PalmUSBD - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\PalmUSBD.sys (file missing)

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. -

C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: runtime - Unknown owner - C:\WINDOWS\System32\drivers\runtime.sys (file missing)

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys (file missing)

O23 - Service: USB Data Cable (usb2vcom) - USB World Technology Inc. http://www.usbworld9 -

C:\WINDOWS\SYSTEM32\DRIVERS\usb2vcom.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

22 Servicios.

7 de Carga Automatica.

14 de Carga Manual.

1 Deshabilitados.

~~[b]~~más:[/b]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:06:49, on 07/09/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\pc\Datos de

programa\spoolsv.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat

6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Yahoo Toolbar - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - C:\WINDOWS\System32\yatool.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de

programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{626F32FB-FA9B-4012-9BD9-CA4B05EC11C2}: NameServer = 10.0.0.2

O21 - SSODL: MHePN - {DCCF23AA-7665-8900-1FCE-9574B7FD94A7} - (no file)

O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos

comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de

programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\svchost.exe:ext.exe (file missing)

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner -

C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia

Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--

End of file - 4114 bytes

~~[b]~~Muchas gracias.

Un abrazo.-[/b]

Mensaje por **msc hotline sat** » 07 Sep 2007, 16:34

PUES ELIMINA ESTAS CLAVES:

O2 - BHO: (no name) - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)

O2 - BHO: Yahoo Toolbar - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - C:\WINDOWS\System32\yatool.dll (file missing)

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O21 - SSODL: MHePN - {DCCF23AA-7665-8900-1FCE-9574B7FD94A7} - (no file)

O22 - SharedTaskScheduler: {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - COM+ Service - (no file)

O23 - Service: PalmUSBD - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\PalmUSBD.sys (file missing)

Y NOS ENVIAS ESTE FICHERO PARA ANALIZAR:

C:\WINDOWS\Temp\startdrv.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 7-09-2007

lucaso · Mensaje por **lucaso** » 07 Sep 2007, 17:55

~~[b]~~Hola:[/b]

Muchas gracias por la respuesta, ya borré las claves y mandé el mail con el archivo startdrv.exe.

El problema persiste luego de haber borrado las claves y reiniciado el sistema, nod32 volvió a mostrar los avisos de virus.

~~[b]~~

este es el informe de hijack this:[/b] veo que vuelve a aparecer O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe, lo borré varias veces y reaparece.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:44:32, on 07/09/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Safe mode

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\pc\Datos de programa\spoolsv.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{626F32FB-FA9B-4012-9BD9-CA4B05EC11C2}: NameServer = 10.0.0.2

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\svchost.exe:ext.exe (file missing)

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--

End of file - 3422 bytes

~~[b]~~Un abrazo y muchas gracias.[/b]

Mensaje por **lucl** » 07 Sep 2007, 18:05

Veo que tienes el sp1 nada mas, te falta sp2 y actualizaciones posteriores que son muchisimas y solucionaran muchos problemas en el futuro en el pc, actualiza lanzando desde inicio windows update

inicio----todos los programas----windows update

o pincha aqui

https://support.microsoft.com/es-es/help/12373/windows-update-faq

y trata de eliminar esa clave arrancando en modo seguro el pc a ver si asi puedes saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

lucaso · Mensaje por **lucaso** » 10 Sep 2007, 18:16

~~[b]~~Hola:

[/b]

Gracias por las respuestas, intenté eliminar la clave en modo seguro y no pasa nada, vuelve a aparecer.

veo que se ejecuta ,solo, sin que nadie lo invite, al iniciar la pc IEXPLORE.EXE que no me figura en la lista de programas a iniciarse (msconfig), tampoco puede encontrar el archivo iexplore.exe en la pc (modifique las opciones de carpeta para que se muestren todos los archivos de sistema y los ocultos) , supongo que es este archivo el que está infectado pero no sé como borrarlo para luego reinstalarlo.

si alguien me puede ayudar, le agradeceré.

~~[b]~~Un gran abrazo.-[/b]

fcerullo · Mensaje por **fcerullo** » 10 Sep 2007, 21:23

Hola,

Podrias probar ejecutar esta aplicacion online de Symantec para ver si puedes remover el problema?

http://security.symantec.com/sscv6/default.asp

Gracias!

Fabio

Mensaje por **msc hotline sat** » 12 Sep 2007, 09:52

Analizada la muestra recibida, pasamos a controlarla con la nueva version 14.61 del ELISTARA:

ELISTARA:

Descargar EliStarA

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 12-09-2007

lucaso · Mensaje por **lucaso** » 13 Sep 2007, 15:19

~~[b]~~Hola:[/b]

Este es el resultado de elistara 14.62.

Thu Sep 13 09:50:39 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "runtime"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Sep 13 09:51:02 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Thu Sep 13 10:00:16 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\TEMP\STARTDRV.EXE --> Eliminado Spy-Agent.BV

Entrada Eliminada [HKLM\...\Run] "STARTDRV"="C:\WINDOWS\Temp\startdrv.exe"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Sep 13 10:00:35 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

~~[b]~~Reinicie la pc y me apareció este cartel del nod32: [/b]

13/09/2007 10:11:48 AMON Archivo C:\DOCUME~1\pc\CONFIG~1\Temp\57718.exe Win32/Wigon.Z (Troyano)

Puesto en cuarentena - Eliminado

Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

~~[b]~~estas son alertas anteriores al momento de pasar el elistara[/b]

13/09/2007 10:11:32

Archivo C:\WINDOWS\System32\drivers\runtime.sys Win32/Rootkit.Agent.DW (Troyano)

Puesto en cuarentena - Eliminado

Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\Temp\startdrv.exe.

El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

13/09/2007 10:11:31 C:\WINDOWS\System32\drivers\secdrv.sys Win32/Rootkit.Agent.DP (Troyano)

Puesto en cuarentena - Eliminado

Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\Temp\startdrv.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

Me parece que de alguna manera tengo que borrar el iexplore.exe. (estoy utilizando firefox como navegador)

~~[b]~~Les dejo un gran abrazo y mis agradecimientos.[/b]

Mensaje por **msc hotline sat** » 13 Sep 2007, 15:42

Vamos a ver, la muestra recibida ha sido detectada y eliminada correctamente con el nuevo ELISTARA:

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\TEMP\STARTDRV.EXE --> Eliminado Spy-Agent.BV

Entrada Eliminada [HKLM\...\Run] "STARTDRV"="C:\WINDOWS\Temp\startdrv.exe"

Lo que haya ademas, lo veremos si nos envias las muestras al rrespecto...

Y ya indicamos que tenias que actualizar los parches lanzando un windowsupdate, lo has hecho ???

Y dado el mensaje de NOD32 sobre :

"IEXPLORE.EXE. El archivo ha sido movido a la carpeta Cuarentena"

pues envianos dicho fichero,

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y no, no puedes quedarte sin el navegador de microsoft, es básico para mantener actualizado el windows !!!

saludos

ms, 13-09-2007

lucaso · Mensaje por **lucaso** » 14 Sep 2007, 13:27

~~[b]~~Hola:[/b]

Hice las actualizaciones de los parches.

El archivo IEXPLORE.EXE no lo puedo encontrar aunque se ejecuta y miro la ruta desde la que se esta ejecutando , no aparece el archivo , cambié las opciones de visualización de carpetas para que me muestre archivos de sistema y ocultos y el IEXPLORE.EXE sigue sin aparecer ¿ como hago para que windows lo muestre ?

Muchas gracias.

~~[b]~~Un abrazo.-[/b]

Mensaje por **msc hotline sat** » 14 Sep 2007, 13:52

Pues ello es propio de los Rootkit, ocultan ficheros, claves y hasta procesos para ocultarlos de la vista del usuario...

Ya el NOD32 indica haber detectado y eliminado varios ficheros pero por lo visto se dejo alguno, y encontramos el

C:\WINDOWS\TEMP\STARTDRV.EXE --> Eliminado Spy-Agent.BV

que eliminamos.

Pero este IExplore efectivamente puede ser el propio troyano y que él mismo tenga un RootKit que se oculte

Mire de localizarlo arrancando en modo seguro, y si lo tiene copielo a un disquete y borrelo del disco duro, luego reinicia y nos lo envia para analizar

Cistará un pco, como todos los RootKits, pero hasta ahora los hemos pisado todos, y llevamos mas de 300.000 ...

saludos

ms, 14-09-2007

lucaso · Mensaje por **lucaso** » 17 Sep 2007, 13:37

~~[b]~~Hola:[/b]

Estuve intentando encontrar el archivo en modo seguro, no tuve exito, sigue sin aparecer. Probé también en simbolo del sistema y tampoco aparece. ¿qué puedo hacer para encontrarlo ?

Muchas gracias.

~~[b]~~Un abrazo.-[/b]

PD: puedo hacer esto lo que se menciona en el siguiente link ? http://lestathijackthis.wordpress.com/2007/08/01/como-eliminar-archivos-maliciosos-que-se-resisten-usando-killbox/

Mensaje por **msc hotline sat** » 17 Sep 2007, 13:41

En modo seguro lance un Inicio -> Buscar y si asi no lo encuentra, si persiste el problema habremos de arrancar en consola de recuperacion cpn el CD de instalacion de windows

saludosç

ms, 17-09-2007

lucaso · Mensaje por **lucaso** » 19 Sep 2007, 00:07

~~[b]~~Hola:[/b]

Estuve luchando un poco con estos virus hice lo siguiente:

Eliminé el archivo iexplore.exe con killbox ( por apresurado que soy ) , por lo que no me trae problemas ya. Y me olvidé de hacerle una copia por lo que pido disculpas al no poder enviarles una muestra del archivo.

pero hay problemas que continuan:

C:\WINDOWS\System32\drivers\runtime.sys Win32/Rootkit.Agent.DW (Troyano)

Puesto en cuarentena - Eliminado

Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\Temp\startdrv.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

C:\WINDOWS\System32\drivers\secdrv.sys Win32/Rootkit.Agent.DP (Troyano)

Puesto en cuarentena - Eliminado

Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\Temp\startdrv.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

Probé iniciando en modo seguro y pasando en nod 32, el spybot 1.5 , el elistara, y el HijackThis. Pero la cosa continua. Todos detectan el virus o troyanoy lo eliminan , pero al reiniciar todo comienza de nuevo.

También ingresé al regedit y borre todo lo referido a los archivos secdrv.sys y runtime.sys. Pero no pasó nada.

Me di cuenta de que cuando desabilito restaurar sistema al reiniciar se activa nuevamente solo sin avisarme. Y sospecho de que esto es lo que hace que una y otra vez aparezca el archivo startdrv.exe, ¿ podrá ser esto ?

Intenté borrar las copias generadas por restaurar sistema desde el liberador de espacio en disco pero no elimina la ultima generada.

¿ que puedo hacer ?

Muchas gracias y disculpen tantas preguntas.

Claudia34 · Mensaje por **Claudia34** » 19 Sep 2007, 03:56

Y por lo que se ve te faltan dos parches del año 2006, por lo tanto realiza un windows update. Saludos.

Mensaje por **msc hotline sat** » 19 Sep 2007, 07:35

Está manipulando por su cuenta claves de registro y borrando ficheros en lugar de enviarlos para analizar, y así no vamos a poder ayudarle.

No solo quema los barcos sino que ademas torpedea a los que le vienen a rescatar... pues muy bien, damos por terminado el Tema y procedemos a cerrarlo.

ms.

problema con wigon.Z y agent.nbt (CERRADO)

problema con wigon.Z y agent.nbt (CERRADO)

prueba con esto por favor...