runauto virus (SOLUCIONADO)

[palomo]

antes que nada un feliz año 2008

y empiezo a molestar con el año..

resulta que a mi memoria usb le aparece continuamente este archivo lo analice con virus total y me dice que es un worm.ruauto.a con bitdefender

runauto.b con nod32



se los envio para que me des us valiosa y ponderada opinion y como soluciona mi problema..

hasta la vista

[palomo]

este fue el resultado



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.1.4.10 2008.01.03 -

AntiVir 7.6.0.46 2008.01.03 -

Authentium 4.93.8 2008.01.04 -

Avast 4.7.1098.0 2008.01.03 -

AVG 7.5.0.516 2008.01.03 -

BitDefender 7.2 2008.01.04 [b]VBS.Worm.Runauto.A [/b]

CAT-QuickHeal 9.00 2008.01.03 -

ClamAV 0.91.2 2008.01.04 -

DrWeb 4.44.0.09170 2008.01.03 -

eSafe 7.0.15.0 2008.01.03 -

eTrust-Vet 31.3.5429 2008.01.03 -

Ewido 4.0 2008.01.03 -

FileAdvisor 1 2008.01.04 -

Fortinet 3.14.0.0 2008.01.04 -

F-Prot 4.4.2.54 2008.01.04 -

F-Secure 6.70.13030.0 2008.01.04 -

Ikarus T3.1.1.15 2008.01.04 -

Kaspersky 7.0.0.125 2008.01.04 -

McAfee 5199 2008.01.03 -

Microsoft 1.3109 2008.01.04 -

NOD32v2 2764 2008.01.03 [b]VBS/AutoRun.B [/b]

Norman 5.80.02 2008.01.03 -

Panda 9.0.0.4 2008.01.03 -

Prevx1 V2 2008.01.04 -

Rising 20.25.40.00 2008.01.04 -

Sophos 4.24.0 2008.01.04 -

Sunbelt 2.2.907.0 2008.01.04 -

Symantec 10 2008.01.04 -

TheHacker 6.2.9.180 2008.01.04 -

VBA32 3.12.2.5 2008.01.02 -

VirusBuster 4.3.26:9 2008.01.03 -

Webwasher-Gateway 6.6.2 2008.01.04 -

Información adicional

Tamano archivo: 110 bytes

MD5: aacd10da73ea31f65a2a114cd25b6e63

SHA1: 5a6bee21a2d91419e544634de8552a49e3268ec6

PEiD: -





de antemano gracias

[msc hotline sat]

Mira si el ELISTARA lo conoce, y sino, envianos muestra del AUTORUN.INF y del fichero que lanza en él (en la linea de Shell o de Open)





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y claro, explora las unidades pendrive que tengas al respecto con el ELISTARA:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 4-1-2008







NOTA: Por cierto, conoces el ELIPEN ??? pruebalo y asi no propagaras virus de pendrive, ni te infectaran los posibles pendrive infectados que se insertaran en tu maquina.





ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp







saludos



ms, 4-1-2008

[palomo]

la muestra ya se las envie ayer, pero lo vuelvo a hacer,


[quote]y del fichero que lanza en él (en la linea de Shell o de Open)
[/quote]

la verdad desconozco de donde sacarla.



en un momento les envio la muestra zipeada.

[msc hotline sat]

Hasta el lunes no volvemos al trabajo en SATINFO y no puedo ver lo que has enviado, pero posteanos el contenido el AUTORUN.INF ya que parece ser un virus de pendrive, y sabremos el nombre del fichero que lanza, que es el que nos interesa, pues me parece que no es el que has enviado a VirusTotal ni a n osotros, sino que quizas has enviado solo el AUTORUN indicado, y eso es solo el lanzador, no el virus propiamente dicho...



Abres el AUTORUN.INF del pendrive con el bloc de notas y haces un copiar y pegar y lo posteas como respuesta de este Tema, gracias



saludos



ms, 5-1-2008

[msc hotline sat]

Pues a la espera que posteases el contenido del AUTORUN.INF, ha llegado el lunes y hemos visto lo que has enviado:



es un AUTORUN.INF que contiene:


[quote]
Raider 8.25

[autorun]

open=wscript.exe .\.vbs

shell\open\command=wscript.exe .\.vbs

shell\open\default=1[/quote]

evidentemente hace falta que nos envies este vbs tan raro, que empieza por WSCRIPT pero que en medio tiene ".\." ???



Como que esto promete ser un virus de pendrive, mira a fondo tu pendrive, mirando lo que hay oculto incluso en carpetas ocultas, para lo que es muy facil abrir una ventana al DOS y entrar:



DIR <unidad pendrive>\*.* /a /s



siendo <unidad pendrive> la letra que tengas asignada a la unidad USB donde tengas insertado el pendrive.



Y dicho fichero envianoslo para poderlo analizar, e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 7-1-2008

[palomo]

perdon por la tardanza pero no ubicaba el virus que me piden, inserto la memoria y se ve en un nstante, lo busque en ms-dos y nada, hasta que vi el txt de sus utilidades y pude ver que es renombrado como autorun.inf.old, asiq ue procedo a enviarselos, asimismo un exe que se genera en cada carpeta



de antemano mil gracias



Tue Dec 11 16:56:04 2007

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

OPEN=LAUNCHU3.EXE

Unidad F:\ NO Protegida



Error Creando Carpeta.

Unidad J:\ No se Pudo Proteger



Error Creando Carpeta.

Unidad J:\ No se Pudo Proteger



Thu Dec 20 14:56:56 2007

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Thu Dec 20 18:50:40 2007

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida



Thu Jan 03 18:11:15 2008

EliStartPage v15.36 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=LaunchU3.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (J)

open=wscript.exe .\.vbs

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Thu Jan 03 18:11:40 2008

EliStartPage v15.36 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9435

Nº Total de Ficheros: 104953

Nº de Ficheros Analizados: 28723

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jan 04 20:35:30 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Detectado J:\Autorun.inf

OPEN=WSCRIPT.EXE .\.VBS

J:\Autorun.inf -> Renombrado a .OLD

Unidad J:\ Protegida



Detectado F:\Autorun.inf

OPEN=LAUNCHU3.EXE

F:\Autorun.inf -> Renombrado a .OLD

Error Creando Carpeta.

Unidad F:\ No se Pudo Proteger



Detectado F:\Autorun.inf

OPEN=LAUNCHU3.EXE

F:\Autorun.inf -> Renombrado a .OLD

Error Creando Carpeta.

Unidad F:\ No se Pudo Proteger



Unidad J:\ YA esta Protegida



Mon Jan 07 14:02:34 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

OPEN=WSCRIPT.EXE .\.VBS

F:\Autorun.inf -> Renombrado a .OLD

Error Creando Carpeta.

Unidad F:\ No se Pudo Proteger



Detectado F:\Autorun.inf

OPEN=WSCRIPT.EXE .\.VBS

F:\Autorun.inf -> Renombrado a .OLD

Error Creando Carpeta.

Unidad F:\ No se Pudo Proteger



Mon Jan 07 14:03:36 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

OPEN=WSCRIPT.EXE .\.VBS

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



Unidad F:\ YA esta Protegida



Tue Jan 08 13:14:44 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

OPEN=WSCRIPT.EXE .\.VBS

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



Tue Jan 08 18:27:01 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

OPEN=WSCRIPT.EXE .\.VBS

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



Wed Jan 09 18:22:10 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado G:\Autorun.inf

OPEN=WSCRIPT.EXE .\.VBS

G:\Autorun.inf -> Renombrado a .OLD

Unidad G:\ Protegida



Fri Jan 11 13:15:45 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (G)

open=LaunchU3.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Jan 11 13:16:34 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Jan 11 13:38:31 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (G)

open=LaunchU3.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Jan 11 13:38:43 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 3

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jan 11 13:38:56 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 70

Nº Total de Ficheros: 423

Nº de Ficheros Analizados: 103

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jan 11 13:40:09 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 70

Nº Total de Ficheros: 423

Nº de Ficheros Analizados: 103

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jan 11 13:40:17 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 70

Nº Total de Ficheros: 423

Nº de Ficheros Analizados: 103

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

pues ya el lunes te diran algo al respecto sobre los archivos que has enviado, estate atento al post, saludos

[palomo]

ahora mismo les envio un archivo, es el que aparece momentaneamente al insertar la memoria



creo trae un archivo test y uno proctect, no se si sea el de elipen.



espero les sea de utilidad estos archivos.



feliz fin de semana

[palomo]

perdon!!!

garcias acl estare pendiente..

chao

[msc hotline sat]

Palomo, estos no ! son los que implementamos en la carpeta AUTORUN.INF con la que vacunamos los pendrives con el ELIPEN !!!



Los que hace falta que envies son los que lanzaba el AUTORUN.INF, ahora renombrado a AUTORUN.OLD:







EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado G:\Autorun.inf

OPEN=[b][i]WSCRIPT.EXE .\.VBS [/i][/b]

G:\Autorun.inf -> Renombrado a .OLD







Y QUIZAS ES EN OTRO PENDRIVE QUE ENCONTRABAMOS ESTE OTRO:





Fri Jan 11 13:38:31 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (G)

open=[b][i]LaunchU3.exe[/i][/b]

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF





Pues estos dos ficheros [b][i]LaunchU3.exe y WSCRIPT.EXE .\.VBS junto con los AUTORUN[/i][/b] que los lanzan, son los que nos tiene que enviar para analizar, gracias



saludos



ms, 12-01-2008

[msc hotline sat]

Hemos recibido solo el AUTORUN.INF pero no los ficheros que lanza, los cuales pediamos:


[quote]
Pues estos dos ficheros LaunchU3.exe y WSCRIPT.EXE .\.VBS junto con los AUTORUN que los lanzan, son los que nos tiene que enviar para analizar, gracias [/quote]

Sin ellos no podemos analizarlos para controlar estos virus.



Esperamos repita el envio con dichos ficheros.



saludos



ms, 14-1-2008

[palomo]

si, lo siento suponia que eran esos..

pero ahora les envio los que me piden, el launch es el softaware de mi memorya es una pq1, pero claro puede estar infectada.. hasta pronto y estere pendiente

[palomo]

ya tengo el virus pero no me deja mandarlo el servidor de hotmail..

que hago como le hago..



hasta pronto

[msc hotline sat]

Hemos pedido este laucher tambien a Conchirrin, aunque parece ser un driver para ciertos modelos de pendrive



Entonces el que mas nos importa es el otro, pero si los tienes, envianos los dos, claro.



Y para enviarnoslos, los empaquetas enn un ZIO o RAR con paswword VIRUS y nos lo envias, como indicamos en:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 15-1-2008

[msc hotline sat]

Recibido solo el LaunchU3.exe , que ha resultado ser utilidades del pendrive, como el de Conchirrin, sepalo para otras veces que no es virico.



Pero el que realmente nos preocupa es el otro, y este no nos lo ha enviado...


[quote]Detectado AUTORUN.INF en la Unidad (J)

open=wscript.exe .\.vbs

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF [/quote]

Vea lo que tiene en el pendrive de la unidad J o en el que el ELISTARA le detecta lo indicado, y abriendo una ventana al dos lance un DIR \wscript*.* /a /s



y nos postea el resultado, a ver si lo vemos



saludos



ms, 15-1-2008

[palomo]

si, lo he intentado mandar comprimido en rar y/o zip y nome deja mandarlo, asi que procedere a mandarlo como me indican en el ultimo post (en unas dos horas lo envio para su valioso y ponderable analisis.

(lo tengo en una maquina del trabajo)

mil gracias por su ayuda.

[msc hotline sat]

A la hora de cerrar de hoy viernes dia 16 no se han recibido las muestras indicadas...



Mire de repetir el envio, pues con gusto lo analizaremos... si lo recibimos



saludos



ms, 16-1-2008

[palomo]

realice lo qu e me indicaron en una ventana de dos

aqui les mando el resultado

[palomo]

pues creo que al fin lo logre...



les envie las mustras encriptads y con el pass que indican..



espero ahora si haber cumplido las espectativas...



en lo referente a las mu[b][i]e[/i][/b]stras las aisle en c:/ en la memoria con el elipen, no lograba verlas o sea que imagino que la [i][b]h[/b][/i]errami[b][i]e[/i][/b]nta funciona perfecta..



pues cualquier cosa me lo indican de favor estare al pendiente..

chao y mil gracias por su paciencia..

[msc hotline sat]

Buena idea el buscarlo asi desde DOS, aunque lástima que no lo hicieras con ATTRIB wscript.* /s , pues asi se ve si está oculto o con otros atributos, como el de sistema, que muchas veces lo hacen servir para ocultarnos el fichero y no verlo en windows, aun habiendo configurado ver ficheros ocultos ...



Porque supongo que en este caso lo debía estar...



Bueno, lo analizaremos tan pronto entremos a trabajar en SATINFO (dentro de unas 4 horas)



ya informaremos



saludos



ms, 17-1-2008

[msc hotline sat]

Por fin !!!



Efectivamente, llegó el VBS "sin nombre" aunque parezca imposible, pues sí, el fichero es .VBS sin mas, y lo que te ha costado encontrarlo es lógico ...



Y está encriptado e infectado, toda una joya !!!



Por esto se lanzaba desde el AUTORUN.INF con :



open=wscript.exe .\.vbs



lo cual despistaba bastante, si señor :roll:



Ya está la muestra en proceso y pasaremos a implementar su control y eliminacion en el ELISTARA de hoy, 15.46 que estará disponible a partir de las 19 h en esta web para pruebas de evaluacion en el foro de zonavirus.com



saludos



ms, 17-1-2008







NOTA: Desde luego la creacion de un fichero sin nombre no puede hacerse desde el sistema operativo, maximo podría ser con nombre de un espacio en blanco o nulo, pero se vería detras de la barra \ .vbs y en cambio este lo carga \.vbs , la primera vez que lo vemos !!! Posiblemente la creación del mismo se hizo en otro lenguaje, claro. ms.

[msc hotline sat]

Experimentalmente hemos probado como crear un fichero ".VBS" y si bien bajo windows no lo hemos logrado, aclaro que bajo DOS no hay problema, lo que pasa es que nunca se nos había ocurrido, y es una picardía del coder (autor del virus) usar dicho nombre con lo que el autorun lanza:



open=wscript.exe .\.vbs



al juntarse el .\ que indica el directorio actual, con el .vbs, muestra la ejecucion de un fichero un tanto singular .\.vbs :wink:



Simple comentario , al que añado que este troyano al que llamamos AUTORUN.AL, genera un .VBE en la carpeta de WINDIR y de SISTEMA, y en la carpeta de INICIO crea un script .VBS que lanza este .VBE , y asi se regenera en cada reinicio



Todo lo cual eliminaremos con la version 15.46 que indicamos en el post anterior.



saludos



ms, 17-1-2008

[palomo]

pues ahora van mis comntarios, ciertamente el elistara 15.46 lo elimina, pero no entiendo la razon por la cual si vuelvo a ejecutar la herramienta me indica que lo volvio a encontrar.

eso en la maquina de casa.



en la maquina del trabajo la herramienta no corre o bueno mejor dicho se queda eliminando los temporales de internet y nada no paa.

procedia correrlo por medio del mo0do seguro y de esa manera si se ejecuto, pero no encontro nada.



en realidad desconozco el por que?



en una maquina corri el elistara y resulto que no pude abrir un archivo C:\\runauto (16)



espero haber sido explicito, tratare en un momento enviarles el txt que resulto..



pues saludos.

por cierto esta herramienta no corre ne vista?



hasta pronto

[msc hotline sat]

El VISTA no está soportado en este foro ! sus exigencias de privilegios y demas son un incordio !!! Pero arrancando en modo seguro, el ELISTARA puede correr en él, si bien aceptando las los privilegios que requiere.



Lo del retardo en eliminacion de memoria ocurre a veces cuando tiene problemas con lo que encuentra. Elimina antes de probar la aplicacion yendo a Herramientas -> Opciones de Internet -> Archivos Temporales de Internet -> Eliminar ...



Y como sea que tu virus es atipico... lo que nos digas puede no ser normal, por lo que cualquier cosa es posible... Mira de hacer todas las pruebas arrancando en modo seguro.



Y lo que dices de que en modo seguro no encuentra nada, pues puede ser porque no haya nada... Si hay el virus estará en modo seguro y en modo normal, y puede que se oculten en modo normal (rootkits), pero las claves de registro que lo lanzan y los ficheros "droppers" están igualmente en modo seguro , el problema es que se conozcan...



Desde luego este se las trae, pero las muestras procesadas en los ordenadores monitorizados, son eliminadas perfectamente, si se le regenera es que puede tener algo mas...



Procesó los pendrives que tiene con el nuevo ELISTARA ??? - hagalo sino



Tiene vacunado el ordenador y pendrives con el ELIPEN ???



Bueno si persiste el problema, posteenos log generado por el SPROCES en modo seguro:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras SALIR, posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 18-1-2008

[palomo]

Wed Jan 23 13:37:20 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\SAVEDUMP.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\JOSE LUIS\MIS DOCUMENTOS\SPROCES.EXE

C:\DOCUMENTS AND SETTINGS\JOSE LUIS\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.mx

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

O4 - HKCU\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE

O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMFirstStart.exe"

O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc3.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://palomarreflexivo.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142996101924

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://palomarreflexivo.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

HKLM\..\Policies\Explorer\Run: [ESTACION4] .vbe



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: AVG Network Redirector (AvgTdi) - GRISOFT, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdi.sys

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: CdaC15BA - Macrovision Europe Ltd - C:\WINDOWS\System32\drivers\CDAC15BA.SYS

O23 - Service: MSI 8606 Video Capture (CX23880) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\drivers\CX88Vid.SYS

O23 - Service: MSI 8606 Audio Capture (CX88AUD) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\drivers\cx88aud.sys

O23 - Service: MSI 8606 Crossbar (CX88XBAR) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\drivers\CX88XBar.SYS

O23 - Service: MSI 8606 Tuner (CXTUNE) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\drivers\CX88Tune.SYS

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: MaVctrl - Mobile Action Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\MaVc2K.sys

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: USBest Service Zero (UTSCSI) - Unknown owner - C:\WINDOWS\system32\UTSCSI.EXE

O23 - Service: windev-4297-2e80 - Unknown owner - C:\WINDOWS\system32\windev-4297-2e80.sys (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Bluetooth Audio Service (BlueletAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys

O23 - Service: Bluetooth SCO Audio Service (BlueletSCOAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\BlueletSCOAudio.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys

O23 - Service: Bluetooth HID Enumerator (BTHidEnum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vbtenum.sys

O23 - Service: Bluetooth Network Filter (BTNetFilter) - Unknown owner - C:\WINDOWS\system32\drivers\BTNetFilter.sys

O23 - Service: Dual-Mode DSC(2770) (DCamUSBSQTECH) - Service & Quality Technology. - C:\WINDOWS\SYSTEM32\Drivers\SQcaptur.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: VIA Rhine-Family Fast-Ethernet Adapter Driver Service (FET5X86V) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5bv.sys

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Motorola USB CDC ACM Driver (motmodem) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motmodem.sys

O23 - Service: MPCSYS - Unknown owner - C:\WINDOWS\system32\DRIVERS\mpcsys.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: W2K Pctel Serial Device Driver (Ptserial) - PCTEL, INC. - C:\WINDOWS\SYSTEM32\DRIVERS\ptserial.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: S3Psddr - S3 Graphics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\s3gnbm.sys

O23 - Service: S3SavageNB - S3 Graphics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\s3gnbm.sys

O23 - Service: Sony Ericsson Device 046 Driver driver (WDM) (SE2Ebus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Ebus.sys

O23 - Service: Sony Ericsson Device 046 USB WMC Modem Filter (SE2Emdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Emdfl.sys

O23 - Service: Sony Ericsson Device 046 USB WMC Modem Driver (SE2Emdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Emdm.sys

O23 - Service: Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM) (SE2Emgmt) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Emgmt.sys

O23 - Service: Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS) (se2End5) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\se2End5.sys

O23 - Service: Sony Ericsson Device 046 USB WMC OBEX Interface (SE2Eobex) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Eobex.sys

O23 - Service: Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM) (se2Eunic) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\se2Eunic.sys

O23 - Service: Sony Ericsson Device 048 Driver driver (WDM) (SE30bus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE30bus.sys

[palomo]

perdon por la tardanza, pero tenia muchos pendientes, y estaba en otro sitio, asiq ue le hice como me indicaron sobre de al herramienta process,

tambien una disculpa pero este post era antes de el txty , pero ya comprenderan..



saludos y mil gracias por su valiosa ayuda, como siempre

[msc hotline sat]

Mira de encontrar con un Inicio->Buscar este fichero y nos lo envias para analizar:



[ESTACION4] .vbe





y este otro puede ser un FAKE ALERT, envianoslo tambien y lo analizaremos:



C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys





Tras recibirlos y analizarlos, informaremos



saludos



ms, 24-1-2008





nota:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





ms.

[palomo]

antes que nada una disculpa ya que este archivo no lo pude encontrar, [ESTACION4] .vbe



estacion 4 es la maquina en la que estoy trabajando, solo por comentarlo.



en cuanto a este me permiti enviar como me fue indicado,



C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

[palomo]

cuando le doy busqueda de windows con *.vbs

me aparecen varios archivos incluido el que ya analizaron, mi pregunta es sera seguro y recomnbdable borrar estos archivos.



supongo que los que son de los programas de adobe, como photoshop e illustrator NO, pero los de system???



mil gracias de antemano



ejemplos

eventquery

prndrvr

ect.