not-a-virus:RiskTool.Win32.HideWindows - (SOLUCIONADO)

KESIA · Mensaje por **KESIA** » 01 Dic 2007, 23:25

Hola:

Lamento informarles que para mi desgracia :( .....se me contagiaron estos dos virus...mi hijo estaba en el msn, hablando con su tio, cuando derepente, este le envio un mensaje de envio de archivo, mi hijo lo acepto y ahi empezo nuestro problema :cry: .

Cada vez que inicio sesion en el messenger, este envia mensajes a mis contactos para que acepten el envio de un archivo de imagen o fotos, aparte de esto se me esconden las ventanas del messenger a cada rato, y no vuelven en si hasta que cierro y abro sesion nuevamente....

Ya no se que hacer, creo que tendre que formatiar, tengo de antivirus en NOD32, pero no me sirvio de nada, puesto que este no me habia mandado ninguna alerta de virus, al final decidi, escanear en la web con el Kaspersky, y este si me encontro estos dos virus que estan en los ficheros

C:/WINDOWS/System32/drsys32.exe

C:/WINDOWS/Temp/Imagen004.zip/JPG-LatinoImagen.com

Estos estan infectados con el Backdoor.Win32.IRCB tambien sale un archivo zip que tambien esta en la carpeta Temp como imagen004.zip

El otro que esta infectado pero con

not-a-virus:RiskTool.Win32.HideWindows

es el fichero

C:/WINDOWS/System32/cmdow.exe

Esos son lo demas son archivos que salen como bloqueados, bueno esepero me puedan ayudar, lo antes posible, mientras voy a grabar los archivos importantes, de mi Pc, por si es que no exixte ninguna solucion, ya que trate de buscar en la enciclopedia de el Kaspersky, las definiciones de estos virus o gusanos o troyanos y no encontre nada de nada.

Bueno desde ya muchas gracias por su ayuda, y su tiempo, espero me puedan ayudar...

Mensaje por **msc hotline sat** » 02 Dic 2007, 08:29

Cada día hay nuevas variantes de virus y se van controlando a medida que se van conociendo...

NOD32 no conocia en el momento que lo pasó estas nuevas variantes, igual hoy ya las conoce, como nosotros los conoceremos mañana, si nos envia las muestras, con lo que potenciaremos nuestras utilidades para que las detecten y eliminen

Para ello envienos estos ficheros que indica Kaspersky detecta como malwares, desde este ultimo

"[i]C:/WINDOWS/System32/cmdow.exe [/i]"

aunque solo sea una herramientas potencialmente peligrosa, hasta las demas que posiblemente son los portadores del virus:

"[i]C:/WINDOWS/System32/drsys32.exe

C:/WINDOWS/Temp/Imagen004.zip/JPG-LatinoImagen.com

Estos estan infectados con el Backdoor.Win32.IRCB tambien sale un archivo zip que tambien esta en la carpeta Temp como imagen004.zip[/i] "

Para enviarlas, recuerde:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 2-12-2007

KESIA · Mensaje por **KESIA** » 03 Dic 2007, 02:14

Hola:

Ya te envie el mail con uno de los tres archivos se me olvido enviarte el resultado del antivirus por web pero te lo dejo por aca ok?

Bueno muchas gracias por todo.

KASPERSKY ONLINE SCANNER REPORT

Saturday, December 01, 2007 7:08:56 PM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 1/12/2007

Kaspersky Anti-Virus database records: 469911

Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true

Scan Target Folders

C:\

Scan Statistics

Total number of scanned objects 42293

Number of viruses found 2

Number of infected objects 4

Number of suspicious objects 0

Duration of the scan process 00:29:14

Infected Object Name Virus Name Last Action

C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked skipped

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked skipped

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked skipped

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\access_log Object is locked skipped

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error.log Object is locked skipped

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error_log Object is locked skipped

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\ssl_request_log Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\R1BB1TO5\hm[2].txt Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped

C:\WINDOWS\system32\drsys32.exe Infected: Backdoor.Win32.IRCBot.and skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\Temp\Imagen004.zip/JPG-LatinoImagen.com Infected: Backdoor.Win32.IRCBot.and skipped

C:\WINDOWS\Temp\Imagen004.zip ZIP: infected - 1 skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.

Mensaje por **msc hotline sat** » 03 Dic 2007, 06:05

Ya hicistes bien, solo los ejecutables a monitorizar deben sernos enviado, los txt y demas logs, postearlos aqui para analizarloe en el foro.

Al respecto, vemos que tienes 4 sospechosos mas:

C:\WINDOWS\system32\cmdow.exe

C:\WINDOWS\system32\drsys32.exe

C:\WINDOWS\Temp\Imagen004.zip/JPG-LatinoImagen.com

C:\WINDOWS\Temp\Imagen004.zip

Envianoslos como has hecho con las demas y las analizaremos, aunque creo recordar que son las que ya te pediamos, en tal caso, las que ya nos has enviado, no hace falta que vuelvas a enviarlas.

saludos

ms, 3-12-2007

Mensaje por **msc hotline sat** » 03 Dic 2007, 13:50

El CMDOW.exe enviado ya está controlado por el ELISTARA, pruebalo:

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 3-12-2007

KESIA · Mensaje por **KESIA** » 03 Dic 2007, 21:25

Hola:

Ya pase el ELISTARA, por otra parte ayer me mate buscando los archivos que me pediste, pero solo logre encontrar el que envie, los demas estaban desaparecidos o se habian escondido, porque no estaban en ninguna parte.

Aca te dejo el info de ELISTARA

Mon Dec 03 16:14:25 2007

EliStartPage v15.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\WALLPAPER1.BMP --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Dec 03 16:17:31 2007

EliStartPage v15.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Nº Total de Directorios: 3643

Nº Total de Ficheros: 34890

Nº de Ficheros Analizados: 8103

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Muchas gracias por tu tiempo y la ayuda :wink:

Espero tu respuesta.

Mensaje por **msc hotline sat** » 03 Dic 2007, 21:50

Bueno pues mira si tras reiniciar persiste algun problema o se han solucionado con la eliminacion de este

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

y nos lo cuentas, gracias

saludos

ms, 3-12-2007

KESIA · Mensaje por **KESIA** » 29 Dic 2007, 03:06

Hola:

Queria agradecer tu ayuda, al pasar el ElistarA se me soluciopno todo y no tube mas problemas por lo menos en el msn pero otra vez este pc tiene problemas, se queda como pegado y ademas se le cambia solo la hora.

Por el momento pasare el antivirus y el Elistara para ver que sale y te posteo el info que me entregue.

Desde ya muchas gracias por tu tiempo y ayuda. :wink:

KESIA · Mensaje por **KESIA** » 29 Dic 2007, 04:04

Hola:

Pase elistarA y no me salio nada y tambien corri mi antivirus y no salio n ada diferente tampoco. Se me ocurrio entonces correr un antivirus online que fue el McAfee y me salio el siguiente archivo:

C:\WINDOWS\system32\drsys32.exe

Que esta infectado con el virus:

W32/Opanki.worm.gen

bueno espero tu respuesta y que me puedas ayudar.

Desde ya muchas gracias.

KESIA · Mensaje por **KESIA** » 29 Dic 2007, 04:19

Hola:

Adelantandome pase el Hijackthis y me entrego el siguiente log:

Logfile of HijackThis v1.99.1

Scan saved at 0:16:20, on 29/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SecurDisc] C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [YSearchProtection] "C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe"

O4 - HKLM\..\Run: [MicrosoftDriverService32] drsys32.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Zinio DLM] C:\Archivos de programa\Zinio\ZinioDeliveryManager.exe /autostart

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0270E604-387F-48ED-BB6D-AA51F51D6FC3} (Image Uploader Control) - http://iu.sonico.com//ImageUploader.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-CL/a-UNO1/GAME_UNO1.cab

O16 - DPF: {65FDEDF3-8ED9-4F5B-825E-18C2D44191A7} (OneCCCtl Class) - http://d.66.155.171.22.downloads.estara.com./as/OneCCDM.php?template=73835&sessionid=381800130_190.54.147.210_1382&=&req=1190135878703OneCC.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5195/mcfscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

Espero sirva de algo ya que el nod32 no habia encontrado el virus que si descubrio el McAfee.

Desde ya muchas gracias.

KESIA · Mensaje por **KESIA** » 29 Dic 2007, 05:48

Hola:

Tambien se me ocurrio pasar el Mcafee Rootkit Detective 1.1 y me entrego el siguiente info

McAfee(R) Rootkit Detective 1.1 scan report

On 29-12-2007 at 00:38:08

OS-Version 5.1.2600

Service Pack 2.0

====================================

Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwEnumerateKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwEnumerateValueKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwQueryKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwQueryValueKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_POWER

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_READ

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE

Object-Path:

Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Unable to access registry key

Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden

Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Unable to access registry key

Object-Type: Registry-value

Object-Name: p0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden

Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden

Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden

Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden

Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden

Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Unable to access registry key

Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden

Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Unable to access registry key

Object-Type: Registry-value

Object-Name: p0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden

Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden

Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden

Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden

Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible

Object-Type: Process

Object-Name: msnmsgr.exe

Pid: 1644

Object-Path: C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

Status: Visible

Object-Type: Process

Object-Name: lsass.exe

Pid: 592

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible

Object-Type: Process

Object-Name: alg.exe

Pid: 2608

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible

Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible

Object-Type: Process

Object-Name: nod32krn.exe

Pid: 224

Object-Path: C:\Archivos de programa\Eset\nod32krn.exe

Status: Visible

Object-Type: Process

Object-Name: Apache.exe

Pid: 1868

Object-Path: C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

Status: Visible

Object-Type: Process

Object-Name: winlogon.exe

Pid: 536

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible

Object-Type: Process

Object-Name: InCDsrv.exe

Pid: 2024

Object-Path: C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

Status: Visible

Object-Type: Process

Object-Name: usnsvc.exe

Pid: 3204

Object-Path: C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

Status: Visible

Object-Type: Process

Object-Name: RichVideo.exe

Pid: 1128

Object-Path: C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 912

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 2556

Object-Path: C:\Mcafee Rootkit Detective 1.1\Rootkit_Detective.exe

Status: Visible

Object-Type: Process

Object-Name: RTHDCPL.exe

Pid: 1564

Object-Path: C:\WINDOWS\RTHDCPL.EXE

Status: Visible

Object-Type: Process

Object-Name: Apache.exe

Pid: 2060

Object-Path: C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

Status: Visible

Object-Type: Process

Object-Name: NBHGui.exe

Pid: 1596

Object-Path: C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

Status: Visible

Object-Type: Process

Object-Name: csrss.exe

Pid: 512

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 792

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: nSvcLog.exe

Pid: 268

Object-Path: C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

Status: Visible

Object-Type: Process

Object-Name: services.exe

Pid: 580

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 952

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: PDVDServ.exe

Pid: 1572

Object-Path: C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

Status: Visible

Object-Type: Process

Object-Name: nSvcIp.exe

Pid: 1820

Object-Path: C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 736

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: InCD.exe

Pid: 1604

Object-Path: C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

Status: Visible

Object-Type: Process

Object-Name: iexplore.exe

Pid: 2720

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible

Object-Type: Process

Object-Name: WLLoginProxy.ex

Pid: 488

Object-Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

Status: Visible

Object-Type: Process

Object-Name: smss.exe

Pid: 460

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible

Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1204

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 864

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: explorer.exe

Pid: 1392

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible

Object-Type: Process

Object-Name: nvsvc32.exe

Pid: 1020

Object-Path: C:\WINDOWS\system32\nvsvc32.exe

Status: Visible

Object-Type: Process

Object-Name: wuauclt.exe

Pid: 3872

Object-Path: C:\WINDOWS\system32\wuauclt.exe

Status: Visible

Object-Type: Process

Object-Name: ctfmon.exe

Pid: 1672

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible

Scan complete. Hidden registry keys/values: 11

Por si sirve de algo ahi lo posteo

Aparte queria saber de que sirve el proceso

drsys32.exe

Ya que cada vez que reinicio el equipo aparece como proceso y en el nombre de usuario sale administrador e usa una memoria de 4.504kb

Bueno ahi dejo esa informacion ojala me puedan ayudar espero su respuesta desde ya muchas gracias.

Mensaje por **msc hotline sat** » 29 Dic 2007, 08:25

No sé porqué pregunta lo que es el DRSYS32.exe cuando ya ha visto en los analisis de McAfee que es un virus...

[quote="KESI"]Se me ocurrio entonces correr un antivirus online que fue el McAfee y me salio el siguiente archivo:

C:\WINDOWS\system32\drsys32.exe

Que esta infectado con el virus:

W32/Opanki.worm.gen [/quote]

Recuerde que ya le pedimos que nos enviara muestra de dicho fichero para controlarlo, lo cual no hizo, como se ve en:

[quote="msc"]
Para ello envienos estos ficheros que indica Kaspersky detecta como malwares, desde este ultimo

"C:/WINDOWS/System32/cmdow.exe "

aunque solo sea una herramientas potencialmente peligrosa, hasta las demas que posiblemente son los portadores del virus:

"C:/WINDOWS/System32/drsys32.exe

C:/WINDOWS/Temp/Imagen004.zip/JPG-LatinoImagen.com

Estos estan infectados con el Backdoor.Win32.IRCB tambien sale un archivo zip que tambien esta en la carpeta Temp como imagen004.zip "

Para enviarlas, recuerde:

Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 2-12-2007
[/quote]

Y su respuesta:

[quote="KESIA"]
KESIA

Usuario

Registrado: 04 Sep 2007

Mensajes: 27

Publicado: Lun Dic 03, 2007 2:14 am Título del mensaje: Aviso

--------------------------------------------------------------------------------

Hola:

Ya te envie el mail con uno de los tres archivos se me olvido enviarte el resultado del antivirus por web pero te lo dejo por aca ok?
[/quote]

y ello queda contrastado en:

http://www.bleepingcomputer.com/startups/drsys32.exe-20162.html

Si decide enviarnos de una vez dicho fichero, tras analizarlo pasaremos a controlarlo...

Y si está oculto el fichero:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

recuerde lo que le deciamos para enviarnoslo:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 29-12-2007

NOTA: El otro que pediamos, C:/WINDOWS/Temp/Imagen004.zip/JPG-LatinoImagen.com

posiblemente es el ZIP en el que llegaba, por messenger o por correo electronico, pero al estar en una carpeta temporal igual ya está borrada. Si lo encuentras, lo envias, pero si no, por lo menos envia el otro ! :

C:/WINDOWS/System32/drsys32.exe

En cuanto lo recibamos, procederemos a ello. ms.

KESIA · Mensaje por **KESIA** » 02 Ene 2008, 22:39

Hola:

Ya envie la muestra, me costo un mundo encontrar el archivo, te lo explique en el mail para que lo leas y me explicas por aca todo ok.

Muchas gracias por tu ayuda :wink: y tu tiempo

espero tu respuesta.

Mensaje por **msc hotline sat** » 03 Ene 2008, 07:48

Lo que quieras explicar hazlo en el foro, pues los mails de las muestras ni los veo, se extraen los ficheros para analizar y se entregan a I+D, para analizar, monitorizar y en su caso implementar su control y eliminación en las nuevas versiones de las utilidades, pero ni caso si hay texto..., solo se mira que haya referencia se forero de zonavirus, sino van a la pila de desconocidos.

Piensa que en SATINFO se reciben muchos cientos de mails diarios, y segun la cuenta que sea no hay intervención personal, como la de zonavirus, que eso sí, goza de prioridad y pasan delante de los de usuarios desconocidos, solo detrás de los asociados a los servicios técnicos, que requieren código de asociado, con quienes sí que se mantiene correspondiencia, igual que hotline telefonico, pues por esto tienen contrato.

Cuando se examina una muestra de zonavirus, me informan del código del forero y resultado del análisis, asi como versión y utilidad en la que se implementa su control, si es el caso, y es lo que puedo decir al respecto, y asi se hará con tu muestra cuando me informen sobre ella.

saludos

ms, 3-1-2008

KESIA · Mensaje por **KESIA** » 03 Ene 2008, 17:16

Aqui te envio el archivo, me costo mucho encontrarlo ya que estaba extra- oculto tuve que desactivar la opción en Mi PC herramientas luego ver y ahi desmarque la opcion ocultar archivos protegidos de el sistema operativo; al hacer eso logre encontrar el archivo drsys32.exe que es un archivo de aplicacion y que al intentar eliminarlo manualmente sale la advertencia que es un archivo de el sistema operativo y que si se elimina el sistema generara errores; aparte de ese archivo aparecieron un monton mas de archivos ocultos que supuestamente son de el sistema, en mis documentos aparece un folder.jpg que estaba como archivo oculto en el disco C, tambien aparecieron estos folders y algunos album art.jpg como tambien un autoexec.bat y NTDETECT.COM estos dos son MS-DOS uno es un archivo por lotes y el otro una aplicacion.

Bueno ahi te envio la muestra y espero que me puedas ayudar, desde ya muchas gracias por todo.

Jejeje tube que sacarlo de los enviados d hotmail, ahi lo dejo a eso me referia sobre lo que habia escrito en el email que envie con la muestra, espero sirva de algo.

Desde ya muchas gracias por tu ayuda y tiempo, espero tu respuesta.

Mensaje por **msc hotline sat** » 04 Ene 2008, 12:00

Recibida la muestra. En un analisis previo se detecta que es un IRCBOT. Entra en cola de monitorizacion. Informaremos cuando se haya completado el examen.

Posiblemente implementaremos el ELITRIIP con su control y eliminacion.

saludos

ms, 4-1-2008

Mensaje por **msc hotline sat** » 04 Ene 2008, 13:40

Monitorizado este IRCBOT lo pasamos a detectar como IRCBOT.AND a partir de la version de hoy del ELITRIIP 4.26

A partir de las 16 h GMT podras descargarlo y probarlo, tras lo que te pedimos postees el contenido del infosat.txt para ver el resultado del proceso.

[quote]http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 4-1-2008

KESIA · Mensaje por **KESIA** » 04 Ene 2008, 18:05

Hola:

Muchas gracias por todo, ya pase el elitriip y aqui te dejo el info que me dejo

Fri Jan 04 13:48:30 2008

EliTriIP v4.26 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRSYS32.EXE --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "MicrosoftDriverService32"="drsys32.exe"

Fri Jan 04 13:48:47 2008

EliTriIP v4.26 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-436374069-1292428093-725345543-500\Dc3.exe --> Eliminado, IRCBot.AND

C:\WINDOWS\system32\DRSYS32.EXE.VIR --> Eliminado, IRCBot.AND

Nº Total de Directorios: 3808

Nº Total de Ficheros: 43439

Nº de Ficheros Analizados: 8146

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Eso fue lo que dejo el elitriip, luego de reiniciar el pc igual comenzo un poco lento pero ahora esta mejor, muchas gracias por tu ayuda, y esperare pasar unos dias para ver como anda y te aviso si se mejoro completamente la pc.

Desde ya muchas gracias :!: :wink: por todo todo ya que me han salvado el pc muchas veces...gracias por tener esta pagina, y ayudar a la gente que esta en problemas... :) les agradezco montones....

Mensaje por **msc hotline sat** » 04 Ene 2008, 20:00

Pues sí, eso ya está mejor :lol:

[quote]
EliTriIP v4.26 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-436374069-1292428093-725345543-500\Dc3.exe --> Eliminado, IRCBot.AND

C:\WINDOWS\system32\DRSYS32.EXE.VIR --> Eliminado, IRCBot.AND [/quote]
Y dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 4-1-2008

not-a-virus:RiskTool.Win32.HideWindows - (SOLUCIONADO)

not-a-virus:RiskTool.Win32.HideWindows - (SOLUCIONADO)

Aviso

RESULTADOS

AGRADECER

C:\WINDOWS\system32\drsys32.exe

Hola

Hola

explicacion