TROYANO.SPYWARE (SOLUCIONADO)

[gemelo2020]

Hola amigos tengo un proble con la pc de mi trabajo resulta q se ha metido un troyano , el problema es q ha hecho lenta la navegacion y sale paginas de porno pase el elistara adware y Spybot - Search & Destroy logrando matar a dichos troyanos pero ahora cuando navego parece q se ha quedado pegado la pagina de donde nacia el problema esta es

Código: Seleccionar todo

http://201.218.196.152/click.php?c=a9b1059d027c6c7ad06f4004&r=1

y cada vez q navego sale este enlace en blanco a la vez antes salias unos anuncios como este:(Anexo imagen)
ME PODRIAN AYUDAR CON ALGUNA UTILIDAD Q ELIMINE LO Q HAYA Y A LA VEZ LO SAQUE DEL REGISTRO
GRACIAS
LES ENVIO EL REGISTRO DEL hijackthis PARA Q ME INDIQUEN Q PUEDO ELIMINAR:
Logfile of HijackThis v1.99.1
Scan saved at 09:30:31 p.m., on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Nero\Nero8\InCD\InCDsrv.exe
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
C:\WINDOWS\system32\crdwsys\smss.exe
C:\WINDOWS\system32\crdwsys\services.exe
D:\toad\TOAD.exe
C:\Archivos de programa\ORL\VNC\WinVNC.exe
C:\Chsp\clinica.exe
C:\Sybase\PB6\pb60.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\gzanabria.SANPABLO\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Clinica San Pablo SAC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.sanpablo.com.pe:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = asiqsoft.sanpablo.com.pe;bdiqsoft.sanpablo.com.pe;intranet.sanpablo.com.pe;instituto.sanpablo.com.pe;mail.sanpablo.com.pe;www.sanpablo.com.pe;graphon.sanpablo.com.pe;192.1.0.100;192.1.0.103;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {C18636E3-03A2-47B2-A455-693788ACB870} - C:\WINDOWS\system32\cmpbk3.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [HPLJ Config] C:\Archivos de programa\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c Network -p hpLaserJet1300n -pn "hp LaserJet 1300n PCL 6" -n 0 -l 1034 -sl 120000
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=112107 serial=DR12WEX-1504397-kty lang=ES
O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [smss] C:\WINDOWS\system32\crdwsys\smss.exe
O4 - HKLM\..\Run: [cppsesys] C:\WINDOWS\system32\cppsesys.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sanpablo.com.pe/extranet/contenedor.jsp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189205179125
O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install/_activex/en-US/TSEasyInstallX.CAB
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Control de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sanpablo.com.pe
O17 - HKLM\Software\..\Telephony: DomainName = srv2k01
O17 - HKLM\System\CCS\Services\Tcpip\..\{97FD29B0-9CE1-4FCE-B382-9548EE43EF8D}: Domain = sanpablo.com.pe
O17 - HKLM\System\CCS\Services\Tcpip\..\{97FD29B0-9CE1-4FCE-B382-9548EE43EF8D}: NameServer = 192.1.0.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sanpablo.com.pe
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sanpablo.com.pe
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sanpablo.com.pe
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = sanpablo.com.pe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sanpablo.com.pe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\ARCHIV~1\QUESTS~1\TOADFO~1\RNetPin.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\oracle\ora81\BIN\ONRSD.EXE
O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

el antivirus manda estos mensajes de deteccion es Nod32
Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información general del sistema

Código: Seleccionar todo

14/11/2007 08:22:09 a.m.	AMON	Archivo	C:\WINDOWS\system32\Drivers\hyvpcejh.dat	Win32/Agent.NMY (Troyano)	Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto		Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\DOCUME~1\GZANAB~1.SAN\CONFIG~1\Temp\D2.tmp. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
14/11/2007 08:22:08 a.m.	AMON	Archivo	C:\DOCUME~1\GZANAB~1.SAN\CONFIG~1\Temp\eiaaykyl.dat	Win32/Agent.NMY (Troyano)	Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto		Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\DOCUME~1\GZANAB~1.SAN\CONFIG~1\Temp\D2.tmp. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
13/11/2007 22:38:55 p.m.	AMON	Archivo	C:\WINDOWS\system32\Drivers\hyvpcejh.dat	Win32/Agent.NMY (Troyano)	Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto		Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\DOCUME~1\GZANAB~1\CONFIG~1\Temp\D2.tmp. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
13/11/2007 22:37:38 p.m.	AMON	Archivo	C:\DOCUME~1\GZANAB~1\CONFIG~1\Temp\eiaaykyl.dat	Win32/Agent.NMY (Troyano)	Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto		Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\DOCUME~1\GZANAB~1\CONFIG~1\Temp\D2.tmp. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
13/11/2007 22:19:26 p.m.	AMON	Archivo	C:\WINDOWS\system32\Drivers\hyvpcejh.dat	Win32/Agent.NMY (Troyano)	Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto		Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\DOCUME~1\GZANAB~1\CONFIG~1\Temp\DA.tmp. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
13/11/2007 22:19:18 p.m.	AMON	Archivo	C:\DOCUME~1\GZANAB~1\CONFIG~1\Temp\eiaaykyl.dat	Win32/Agent.NMY (Troyano)	Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto		Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\DOCUME~1\GZANAB~1\CONFIG~1\Temp\DA.tmp. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
13/11/2007 21:56:53 p.m.	AMON	Archivo	\\conp1sopt1000\Surco Basico\LO BASICO\Utilitarios\Utilitarios de Pc\ProduKey.exe	Win32/RiskWare.PSWTool.ProduKey.106 aplicación	Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto - Ha ocurrido un error mientras se estaba eliminando - el archivo está bloqueado	SANPABLO\gzanabria	Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\WINDOWS\Explorer.EXE.
13/11/2007 21:13:03 p.m.	AMON	Archivo	C:\WINDOWS\system32\Drivers\hyvpcejh.dat	Win32/Agent.NMY (Troyano)	Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto	SANPABLO\gzanabria	Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\Archivos de programa\Internet Explorer\iexplore.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
13/11/2007 21:13:01 p.m.	AMON	Archivo	C:\DOCUME~1\GZANAB~1.SAN\CONFIG~1\Temp\eiaaykyl.dat	Win32/Agent.NMY (Troyano)	Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto	SANPABLO\gzanabria	Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\Archivos de programa\Internet Explorer\iexplore.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
13/11/2007 21:12:25 p.m.	AMON	Archivo	C:\WINDOWS\system32\Drivers\hyvpcejh.dat	Win32/Agent.NMY (Troyano)	Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto	SANPABLO\gzanabria	Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\DOCUME~1\GZANAB~1.SAN\CONFIG~1\Temp\D603.tmp. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
13/11/2007 21:12:25 p.m.	AMON	Archivo	C:\DOCUME~1\GZANAB~1.SAN\CONFIG~1\Temp\eiaaykyl.dat	Win32/Agent.NMY (Troyano)	Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto	SANPABLO\gzanabria	Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\DOCUME~1\GZANAB~1.SAN\CONFIG~1\Temp\D603.tmp. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
13/11/2007 21:11:33 p.m.	IMON	Archivo comprimido	http://scarddlg.com/ehp2_stdneh.jar	Variante modificada de Java/ClassLoader (Troyano)	Conexión terminada	SANPABLO\gzanabria	
13/11/2007 18:40:23 p.m.	AMON	Archivo	K:\Autorun.inf	Win32/AutoRun.CH (Gusano de Internet)	Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto - Eliminado	NT AUTHORITY\SYSTEM	Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\WIND

[msc hotline sat]

Aparte de smss.exe del sistema, en este ordenador se carga otro muy sospechoso, junto con un services.exe de la misma carpeta, que hemos de analizar:

Código: Seleccionar todo

C:\WINDOWS\system32\crdwsys\smss.exe  
C:\WINDOWS\system32\crdwsys\services.exe 

Tambien estos otros ficheros son sospechosos, envienoslos igualmente :

Código: Seleccionar todo

C:\Sybase\PB6\pb60.exe
C:\WINDOWS\system32\cmpbk3.dll
C:\WINDOWS\system32\cppsesys.exe

y elimine estas claves:

Código: Seleccionar todo

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Clinica San Pablo SAC  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.sanpablo.com.pe:3128  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = asiqsoft.sanpablo.com.pe;bdiqsoft.sanpablo.com.pe;intranet.sanpablo.com.pe;insti tuto.sanpablo.com.pe;mail.sanpablo.com.pe;www.sanpablo.com.pe;graphon.sanpablo.c om.pe;192.1.0.100;192.1.0.103; 
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Control de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab

-> Para ello recordar: viewtopic.php?f=2&t=45334

por otro lado lo que el NOD32 le haya puesto en cuarentena, vea si los elimina el mismo antivirus pero lanzado arrancando en modo seguro.

y revise su configuracion de servidores de DNS, tiene estos atipicos:

192.1.0.4 US United States MA Massachusetts Cambridge 02138 42.3800 -71.1329 BBN Communications BBN Communications 506 617

sanpablo.com.pe US United States TX Texas Houston 77060 29.9342 -95.4057 Everyones Internet Everyones Internet 618 281

y la IP indicada por Vd 201.218.196.152 es de Panamá:

201.218.196.152 PA Panama 01 Bocas del Toro Victoria 9.4832 -82.6500 Net2Net Corp. EM Technologies

pero no aparece en el registro ???. De todas formas eliminamos las entrada de pagina de Inicio y procedencia del I.E. que igual le incordian, luego ponga otra de inicio como el Google.com

y nos cuenta el resultado, gracias

saludos
ms, 15-11-2007


Nota: y no sé a qué viene la imagen que adjunta ???

[gemelo2020]

Para enviar los archivos q me solicitaron a la hora de buscarlos no estaban dentro de la carpeta en mencion opte enviarles x los archivos q arroja el buscador espero sirva de algo a la vez les envio un mensaje del nod sobre este troyano q no se deja eliminar

espero su ayuda



Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información general del sistema

13/11/2007 22:37:38 p.m. AMON Archivo C:\DOCUME~1\GZANAB~1\CONFIG~1\Temp\eiaaykyl.dat Win32/Agent.NMY (Troyano) Puesto en cuarentena - Eliminado - Ha ocurrido un error mientras se estaba desinfectando - no es posible ejecutar la acción para este tipo de objeto Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\DOCUME~1\GZANAB~1\CONFIG~1\Temp\D2.tmp. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

[msc hotline sat]

Aparte de este que NOD32 ha toqueteado, es importante que nos envie los demas solicitados:

C:\WINDOWS\system32\crdwsys\smss.exe

C:\WINDOWS\system32\crdwsys\services.exe

Tambien estos otros ficheros son sospechosos, envienoslos igualmente :

C:\Sybase\PB6\pb60.exe
C:\WINDOWS\system32\cmpbk3.dll
C:\WINDOWS\system32\cppsesys.exe

y por si acaso estan ocultos:

viewtopic.php?f=5&t=13245

saludos
ms, 16-11-2007

[msc hotline sat]

Hemos recibido solo dos ficheros y sdn del sistema operativo !

Ya te deciamos que los normales con este nombre estan en la carpeta de sistema pero justamente tienes al mismo tiempo otros en otra carpeta, los cuales estan en proceso, pues aparecen en uso en el log del HJT:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Nero\Nero8\InCD\InCDsrv.exe
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
C:\WINDOWS\system32\crdwsys\smss.exe

Fijate en la primera y ultima linea, aparecen en uso dos smss.exe, pero de dos carpetas diferentes, y es el ultimo el que nos interesa, pues el otro lo tenemos todos.

Es posible que tengas un RootKit que te los oculte..., arranca en modo segur0 a ver si asi los ves, y en tal modo, ejecuta el HJT y posteanos luego el log, a ver si vemos mas cosas.

y envianos las muestras para analizar !
saludos

ms, 16-11-2007

[gemelo2020]

ya les envie todo lo solicitado con las indicaciones señaladas arrancare en modo seguro para eliminar ese troyano o lo q se haya metido lo mas feo es q cada vez q meto mi Usb al toque se crea una carpeta pasalavoz.exe

[msc hotline sat]

Por "pasalavoz.exe" no hay referencias en Internet...



El lunes, cuando volvamos al trabajo en SATINFO, analizaremos los ficheros enviados e informaremos



Mientras, puedes subirlos al VirusTotal, https://www.virustotal.com/es/ y si unos cuantos antivirus lo detectan infectado, renombra la extension de dicho fichero a .VIR y reinicia, con lo cual, provisionalmente, el malware ya estará aparcado sin entrar en uso.



Y nos mantienes informados, gracias



saludos



ms, 17-11-2007

[Stone_FREE_]

Yo tengo el mismo virus, y se reproduce mediante las unidades PENDRIVE o USB. Este virus crea una entrada en el registro con el nombre "smss" dentro de

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



Aparte crea o modifica varias entradas en otras zonas, que no se para qué sirven. Me he dado cuenta que éste virus hace que aparezca un tipo de publicidad deslizante encima de donde sale la hora en el escritorio de windows. No se qué es lo que hace aparte de eso.



Una modificación que he notado es que en mi PC el virus se crea dentro de C:\WINDOWS\system32\00000\smss.exe, en cambio en el de gemelo2020 se crean dentro de C:\WINDOWS\system32\crdwsys\smss.exe



Les estoy mandando todos los archivos necesarios para que lo examinen.



Para evitar que se sigan infectando las computadoras con éste virus, debes borrar la entrada "smss" dentro de

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Y deshabilitar el autorun de las memorias USB para que no se infecte tu PC si hay un virus autoejecutable en tu unidad USB. Luego de eso resetear la PC.

[msc hotline sat]

Cuidado con tocar el registro !!!, esta entrada puede ser necesaria y normal en windows.

En este Tema ya se dice que tiene dos cargas de dos smss.exe:

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Nero\Nero8\InCD\InCDsrv.exe
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
C:\WINDOWS\system32\crdwsys\smss.exe

como puede verse en los procesos en uso, fijarse ne el primero y el ultimo de la lista de arriba.

Cuando hayamos recibido muestra del último (el primero es del sistema), implementaremos su control y eliminacon en nuestras utilidades, de lo cual informaremos.

y para Stone_FREE_ parece que no has visto lo que indicamos en:

viewtopic.php?f=11&t=22159

saludos
ms, 18-11-2007

[msc hotline sat]

Recibidos los ficheros muestra, venos que el PASALAVOZ.EXE tiene el icono de carpeta, y por las caracteristicasparfece ser un virus de Visual basic que oculte las carpetas y copie el gusano con el nombre de las mismas, pero con extension EXE. claro, y pensando que son carpetas, cuando se pulse en dichos iconos, se ejecute el virus.



Eso ha sido a primera vista, tras el analisis a fondo y monitorizacion del fichero, informaremos ofreciendo utilidad de eliminacion donde lo implementemos.



saludos



ms, 19-11-2007

[msc hotline sat]

Pues al parecer todos los ficheros malwares enviados han sido hecho por el mismo coder, ANIBAL ZAMBRANO VELAZQUEZ , de su misma ciudad (quizas proximo a Vd si se dedica a la informatica...)



Y por ello pasamos a detectar como malware ZAMBRANO todas las variantes hechas por el mismo, bien firmadas por AZV o con su nombre completo, pues algunas pueden no corresponder al mismo "pasalavoz" como lo son los principales "PASALAVOZ.EXE Y PASALAVOZ2.EXE"



Con la version 15.06 del ELISTARA de hoy ya se controlaran por cadenas estos 9 malwares , pruebelo esta tarde (>19 h GMT) y nos informa



Si no encuentra carpetas que tenía, pueden estar ocultas, cambieles el atributo.



saludos



ms, 19-11-2007

[gemelo2020]

SRES MUCHAS GRACIAS POR SU AYUDA CON LAS ULTIMAS UTILIDADES POSTEADAS DEL ELISTARA ARREGLE ESTE BENDITO PROBLEMA EN MODO A PRUEBA DE FALLOS

GRACIAS X SU AYUDA

[Stone_FREE_]

No me había dado cuenta de que existía el elipen, ahora voy a probarlo y tal vez ver la posibilidad de instalarlo en una red de mi universidad que la usan para pruebas y está un poco desprotegida y las máquinas se paran infectando con estos virus por USB :wink:



Ahora fui por esos laboratorios de mi universidad y todas las máquinas están infectadas con éste virus pasalavoz. Estaba creando un antivirus en batch que elimine el virus y lo pueda ejecutar desde una sola PC y se autoejecute en todas las Pc's de la red, para no estar llendo máquina por máquina ejecutando el antivirus. He visto que el elistara elimina muy bien el virus, pero requiere cierta intervención del usuario para aceptar o rechazar algunas opciones, por lo que creo que mi programita en batch sería más rápido para eliminar en toda la red ya que no requiere intervención del usuario.



Recién estoy aprendiendo a hacer antivirus en batch, pero al querer cerrar mediante batch el proceso smss.exe que genera éste virus pasalavoz (taskkill /F....), no lo puede cerrar porque dice que es un proceso crítico del sistema. El elistara si lo cierra corectamente. Ya se que hay un proceso smss.exe que es propio del windows, pero mediante unos filtros le digo para que cierre el proceso smss que corresponde al virus. Hay alguna forma de cerrar éste proceso mediante códigos? No lo puedo cerrar ni con el administrador de tareas, pero si con el process explorer.

Me recomiendan que siga haciendo antivirus en batch, o en qué los puedo hacer? :D



Saludos

Stone_FREE_

[msc hotline sat]

Dudo que con el batch puedar restaurar las claves modificadas en el registro de sistema, la que ejecuta un RUN del PASALAVOZ.EXE, pero provisionalmente puedes eliminar los ficheros malware y asi ya no podran ejecutarse.



Para ello mira de arrancar en modo seguro y no estaran en uso, pues sino windows no deja eliminarlos



saludos



ms, 20-11-2007

[Stone_FREE_]

Con programas en batch puedes crear, borrar o modificar claves en el registro del sistema. Lo que tuve que hacer es crear un programa que borre la clave que crea el virus dentro de run y ejecutarlo remotamente en todas las PC`s de la red. Así para cuando se reinicie la PC el virus ya no se activaría. Si hubiera inicializado en modo a prueba de fallos lo podría haber eliminado completamente, pero son 70 PC`s y es demasiado trabajo hacer eso en todas. Lo que me di cuenta es que el elistara si puede cerrar ese proceso sin estar en modo a prueba de fallos.



Saludos

Stone_FREE_

[msc hotline sat]

Sí, tal como hacemos con todas nuestras utilidades, detenemos el proceso vírico en memoria y así podemos eliminar los ficheros viricos, pues mientras estan en uso, windows no permite eliminarlos.



Tanto para ello como para modificar claves afectadas por los virus, utilizamos C++ , sin necesidad del Regedit, que es la forma como se nos ocurre que podríamos modificarlo también desde un batch, con ficheros .REG que borraran o modificaran dichas claves, lo cual habíamos hecho antaño en plan manual, tambien con batch, pero eso era muy pedestre y cuando nos encontrabamos con virus que no permitian utilizar el REGEDIT, no funcionaba, además que era muy limitado pues quedaban reducidas sus funciones a las que los batch permitían, y por ello ya casi lo hemos olvidado :wink:



Y claro, un "programita" como dice diseñado solo para un unico virus, que no contemple nada mas, ni mire lo que hay en memoria, ni escanee todo el disco duro buscando otros posibles malwares, ni ofrezca opciones de limpiar HOSTS, temporales y cookies de I.E., o añadidos maliciosos en favoritos y demas, puede ser mas rápido, pero con mucha menor funcionalidad, pero si es lo que quiere...



Es como el ELIPEN, de gran rapidez, pero unicamente centrado en ver si hay determinado fichero a piñón fijo, y crear una carpeta de bloqueo y, sin escaneo, y modificar una clave del registro, lo cual es útil y rápido, pero exclusivamente para dichas funciones puntuales.



Y en el caso que nos ocupa del malware ZAMBRANO, son muchos mas los ficheros que crea o modifica, los cuales con el actual ELISTARA serán detectados y eliminados, aparte de las claves, no solo de este, sino de otros troyanos que no hubieran sido restauradas, pero hablamos de dos procesos diferentes, por un lado de un "programita" batch, con sus características de sencillez y facilidad de creacion y rapidez de ejecucion, y por otro de aplicaciones con mayor funcionalidad, diseñadas como complemento de los antivirus globales, con opciones que resultan de gran interés segun de lo que se trate, y cuando algun afectado por este malware haya utilizado el actual ELISTARA y postee el infosat.txt, se verá la necesidad del escaneo en busca de copias del malware, que, en general, esperamos existirán en dichos ordenadores, aunque, dejando todos estos, con el peligro consecuente, limitando lo deseado a la eliminacion de una clave y de un fichero, te facilito la manera de poner al que está en uso fuera de circulacion para correr menos riesgos y poder hacerlo desde un batch, que puedes aplicar en el tuyo, aun con el virus en memoria, y es renombrar el fichero en cuestion a extension .VIR, con lo cual quedará aparcado, sin posibilidad de ejecución, y si algun día le pasas el ELISTARA, lo eliminará, ya que tambien contemplamos el escaneo de .VIR ya que es la extensión utilizada para dejar fuera de circulacion a los ficheros, si bien son analizados en busca de cadenas víricas, lo cual no se hace con otras extensiones no ejecutables.



Y es que windows XP/2000 (no el antiguo W98) permite modificar la extensión de los ficheros que estan en uso, incluso moverlos a otra carpeta, para lo cual utilizamos la carpeta c:\muestras o de cuarentena, y aunque reduzcas la acción a ficheros concretos, te puede ser de utilidad a efectos de aumentar en un escalón la eficacia de dicho proceso batch.



Pero muy bien por sus pinitos con los batch, asi se empieza, ánimo !



saludos



ms, 21-11-2007

[gemelo2020]

MI PROBLEMA YA FUE SOLUCIONADO GRACIAS X EL APORTE DE TDOS

GRACIAS

[msc hotline sat]

Pues lo celebramnos, y dando el Tema por soluciondo, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos-.



saludos



ms, 23-11-2007