Sin conexion a internet (SOLUCIONADO)

[lucl]

Hola msc, traigo currelo del pc de una amiga la cual estaba plagadita de fauna varia. Los primeros sintomas fueron reinicio del pc, antivirus que no se podia ejecutar etc... imaginó que tenia un virus y segun ella lo elimino aunque no me ha dicho como porque ciertamente no lo sabe. Le desaparecieron muchos archivos y creia que habia formateado el pc, luego comprobe que no. Me llamo a mi me dijo que no tenia conexion a internet , me conto toda la historia y entonces me puse a la faena .Pase elibagla por si las moscas y luego elistara y elitriip, del cual te dejo infosat. Tambien le salian muchas paginas de publicidad no deseada con lo que le puse el spybot que le hizo limpieza tambien. Te mando dos muestras para que las analiceis y te dejo los informes de virustotal, finalmente conseguimos internet y de momento el pc esta "tranquilo" asi que cuando podais nos decis algo, no hay prisa, saludos











Fri Jan 18 17:26:44 2008

EliBagle v10.88 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Jan 18 17:26:48 2008

EliBagle v10.88 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4462

Nº Total de Ficheros: 60311

Nº de Ficheros Analizados: 10180

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jan 18 17:32:16 2008

EliBagle v10.88 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 565

Nº Total de Ficheros: 19540

Nº de Ficheros Analizados: 2430

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jan 18 17:39:48 2008

EliStartPage v15.46 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCXMNTR.EXE --> SpyRealtek Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\WHAGENT.EXE.Muestra EliStartPage v15.46

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHAGENT.EXE --> Eliminado

C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHIEHLPR.DLL --> WebHancer(BHO) Renombrado a .VIR

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "AlcxMonitor"="ALCXMNTR.EXE"

Entrada Eliminada [HKLM\...\Run] "webHancer Agent"="C:\Program Files\webHancer\Programs\whagent.exe"

Eliminada Class, "{C900B400-CDFE-11D3-976A-00E02913A9E0}" -> C:\Program Files\webHancer\programs\whiehlpr.dll

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Jan 18 17:40:12 2008

EliStartPage v15.46 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\HP\drivers\audio_realtek\ALCXMNTR.EXE --> Eliminado, SpyRealtek

C:\Program Files\Common Files\Sonic Shared\AUDIOPLAYER.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Program Files\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Program Files\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Program Files\webHancer\Programs\WHIEHLPR.DLL.VIR --> Acceso Denegado, WebHancer(BHO)

C:\WINDOWS\ALCXMNTR.EXE.VIR --> Eliminado, SpyRealtek

C:\WINDOWS\pchealth\helpctr\InstalledSKUs\Professional_32_0c0a\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\plugin\UPLOADHSC.DLL --> Eliminado, DollarRevenue (dldr)

C:\WINDOWS\pchealth\helpctr\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\plugin\UPLOADHSC.DLL --> Eliminado, DollarRevenue (dldr)



Nº Total de Directorios: 4430

Nº Total de Ficheros: 59420

Nº de Ficheros Analizados: 15614

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 7



Fri Jan 18 17:47:47 2008

EliStartPage v15.46 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\I386\Drv\APP19570\src\ALCXMNTR.EXE --> Eliminado, SpyRealtek

D:\System Volume Information\_restore{B9823275-D858-498B-A4DC-C4EEDA322F67}\RP23\A0033277.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 566

Nº Total de Ficheros: 19542

Nº de Ficheros Analizados: 3910

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Fri Jan 18 17:51:43 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Detectado D:\Autorun.inf

SHELLEXECUTE=INFO.EXE PROTECT.ED 480 480

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida



Error Creando Carpeta.

Unidad E:\ No se Pudo Proteger



Error Creando Carpeta.

Unidad G:\ No se Pudo Proteger



Error Creando Carpeta.

Unidad H:\ No se Pudo Proteger



Error Creando Carpeta.

Unidad J:\ No se Pudo Proteger



Error Creando Carpeta.

Unidad I:\ No se Pudo Proteger



Fri Jan 18 17:52:24 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Jan 18 17:52:25 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\HP\Digital Imaging\{3E386744-10FA-44b2-98C9-DF7A270DECB3}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Program Files\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Program Files\HP\Digital Imaging\{C83A12B9-B31B-461A-BBD4-CE9B988094F1}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Program Files\HP\Temp\{3E386744-10FA-44b2-98C9-DF7A270DECB3}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Program Files\HP\Temp\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Program Files\HP\Temp\{C83A12B9-B31B-461A-BBD4-CE9B988094F1}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)



Nº Total de Directorios: 4430

Nº Total de Ficheros: 59425

Nº de Ficheros Analizados: 14608

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Fri Jan 18 17:57:13 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 571

Nº Total de Ficheros: 19551

Nº de Ficheros Analizados: 3731

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Jan 19 12:09:00 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando Carpeta.

Unidad J:\ No se Pudo Proteger



Unidad K:\ Protegida



Sat Jan 19 12:09:37 2008

EliStartPage v15.46 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sat Jan 19 12:09:45 2008

EliStartPage v15.46 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4374

Nº Total de Ficheros: 58700

Nº de Ficheros Analizados: 15403

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







Informe de virustotal de la muestra WHAGENT.EXE





Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.1.19.10 2008.01.18 -

AntiVir 7.6.0.48 2008.01.20 ADSPY/Webhancer.P

Authentium 4.93.8 2008.01.20 -

Avast 4.7.1098.0 2008.01.20 -

AVG 7.5.0.516 2008.01.19 Adware Generic2.IKL

BitDefender 7.2 2008.01.20 Spyware.Webhancer.AE

CAT-QuickHeal 9.00 2008.01.19 -

ClamAV 0.91.2 2008.01.20 Adware.Webhancer-10

DrWeb 4.44.0.09170 2008.01.20 Adware.WebHancer.origin

eSafe 7.0.15.0 2008.01.16 -

eTrust-Vet 31.3.5470 2008.01.18 -

Ewido 4.0 2008.01.20 -

FileAdvisor 1 2008.01.20 -

Fortinet 3.14.0.0 2008.01.20 Adware/WebHancer

F-Prot 4.4.2.54 2008.01.19 -

F-Secure 6.70.13260.0 2008.01.19 -

Ikarus T3.1.1.20 2008.01.20 not-a-virus:AdWare.Win32.WebHancer.390

Kaspersky 7.0.0.125 2008.01.20 -

McAfee 5211 2008.01.18 potentially unwanted program Spyware-WebHancer

Microsoft 1.3109 2008.01.20 Spyware:Win32/WebHancer

NOD32v2 2807 2008.01.19 Win32/Adware.Webhancer.A

Norman 5.80.02 2008.01.18 -

Panda 9.0.0.4 2008.01.19 Adware/WebHancer

Prevx1 V2 2008.01.20 SPYWARE.WEBHANCER.B

Rising 20.27.62.00 2008.01.20 -

Sophos 4.24.0 2008.01.20 Webhancer

Sunbelt 2.2.907.0 2008.01.17 -

Symantec 10 2008.01.20 Trackware.Webhancer

TheHacker 6.2.9.191 2008.01.19 -

VBA32 3.12.2.5 2008.01.19 suspected of Malware.Agent.18 (paranoid heuristics)

VirusBuster 4.3.26:9 2008.01.20 -

Webwasher-Gateway 6.6.2 2008.01.20 Ad-Spyware.Webhancer.P





Informe de virustotal de la muestra WHIEHLPR.DLL.VIR a la que elistar tenia el acceso denegado





Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.1.19.10 2008.01.18 -

AntiVir 7.6.0.48 2008.01.20 ADSPY/Webhancer.BI.1

Authentium 4.93.8 2008.01.20 -

Avast 4.7.1098.0 2008.01.20 -

AVG 7.5.0.516 2008.01.19 Adware Generic2.KFZ

BitDefender 7.2 2008.01.20 Adware.Webhancer.BI

CAT-QuickHeal 9.00 2008.01.19 AdWare.WebHancer.390 (Not a Virus)

ClamAV 0.91.2 2008.01.20 -

DrWeb 4.44.0.09170 2008.01.19 -

eSafe 7.0.15.0 2008.01.16 -

eTrust-Vet 31.3.5470 2008.01.18 -

Ewido 4.0 2008.01.20 Not-A-Virus.Adware.WebHancer

FileAdvisor 1 2008.01.20 -

Fortinet 3.14.0.0 2008.01.20 Adware/WebHancer

F-Prot 4.4.2.54 2008.01.19 W32/Adware.YLL

F-Secure 6.70.13260.0 2008.01.19 -

Ikarus T3.1.1.20 2008.01.20 not-a-virus:AdWare.Win32.WebHancer.390

Kaspersky 7.0.0.125 2008.01.20 not-a-virus:AdWare.Win32.WebHancer.390

McAfee 5211 2008.01.18 Generic.dx

Microsoft 1.3109 2008.01.20 Spyware:Win32/WebHancer

NOD32v2 2807 2008.01.19 Win32/Adware.Webhancer.390

Norman 5.80.02 2008.01.18 W32/WebHancer.DH

Panda 9.0.0.4 2008.01.19 Adware/WebHancer

Prevx1 V2 2008.01.20 -

Rising 20.27.62.00 2008.01.20 AdWare.Win32.WebHancer.a

Sophos 4.24.0 2008.01.20 Webhancer

Sunbelt 2.2.907.0 2008.01.17 -

Symantec 10 2008.01.20 Trackware.Webhancer

TheHacker 6.2.9.191 2008.01.19 Adware/WebHancer.390

VBA32 3.12.2.5 2008.01.19 AdWare.Win32.WebHancer.390

VirusBuster 4.3.26:9 2008.01.20 -

Webwasher-Gateway 6.6.2 2008.01.20 Ad-Spyware.Webhancer.BI.1

[msc hotline sat]

Pues sí que tenía cosas... pero parece que del Bagle se libró... a no ser que en las muestras que has enviado haya algo de ello, pero mas bien parecen alguna variante del WebHancer.



Pues las analizaremos mañana si Dios quiere, cuando entremos en SATINFO



Si de momento ya funciona, pues o se han eliminado o aparcado, tanto la que se pide muestra:



Por favor, envienos una muestra del fichero

C:\Muestras\WHAGENT.EXE.Muestra EliStartPage v15.46

a "virus@satinfo.es



y esta otra que dice ACCESO DENEGADO, posiblemente estaba en uso, pero al renombrarse a VIR, tras reiniciar ya ha quedado fuera de circulacion.



Mañana las vemos.



Y si puedes, para asegurar el tiro pruebas el SPROCES y nos posteas el SPROCLOG.TXT, a ver si vemnos algo mas...



saludos lucl.



ms, 20-1-2008

[msc hotline sat]

Recibidas las muestras se procede a implementar su control y eliminaicon como WEBHANCER en la version de hoy 15.48 del ELISTARA



Tras probarlo ya nos informarás



saludos



ms, 21-1-2008

[lucl]

Gracias msc, a la noche te dire algo pues ya la he avisado de que lo pase, quedara pendiente el sprocess que dice que tiene problemas para descargarlo pero mañana pasare yo por su casa y mirare a ver que pasa y ya te dire algo tambien sobre eso, saludos

[msc hotline sat]

ok, lucl. Sobre las 19 horas estará disponible la nueva version del ELISTARA y la subiremos a esta web para evaluacion en el foro de zonavirus.



saludos



ms, 21-1-2008

[lucl]

Hola msc, por fin pudimos pasar el sprocess, ayer se quedaron sin internet y he podido solucionarlo momentaneamente, te pego el log y vamos a pasar el elistara , si ves algo dimelo ya que intuyo que si hay algo porque pinta gris oscuro el tema, saludos





Tue Jan 22 17:37:22 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCPROXY.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE

C:\PROGRAM FILES\NORTON INTERNET SECURITY\ISSVC.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\SNDSRVC.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\SPBBC\SPBBCSVC.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\ARSERVICE.EXE

C:\WINDOWS\EHOME\EHRECVR.EXE

C:\WINDOWS\EHOME\EHSCHED.EXE

C:\PROGRAM FILES\COMMON FILES\LIGHTSCRIBE\LSSRVC.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\PROGRAM FILES\SYMANTEC\LIVEUPDATE\ALUSCHEDULERSVC.EXE

C:\PROGRAM FILES\SITEADVISOR\6253\SASERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\SECURITY CENTER\SYMWSC.EXE

C:\WINDOWS\SYSTEM32\DLLHOST.EXE

C:\WINDOWS\EHOME\EHTRAY.EXE

C:\PROGRAM FILES\JAVA\JRE1.5.0_05\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM\HPSYSDRV.EXE

C:\WINDOWS\ARPWRMSG.EXE

C:\HP\KBD\KBD.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\EHOME\EHMSAS.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\PROGRAM FILES\SITEADVISOR\6253\SITEADV.EXE

C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\LIMEWIRE\LIMEWIRE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATOR\MY DOCUMENTS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll

O2 - BHO: MySidesearch Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\mysidesearch_sidebar.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: dcads - {6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} - C:\WINDOWS\system32\nsw98.dll

O2 - BHO: superiorads - {79F562E5-768C-4494-8E6C-824ADA4A9C2C} - C:\WINDOWS\system32\sprt_ads.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: browser optimizer superiorads - {8E015787-B1E3-404a-95DE-3E71E1FA0305} - C:\WINDOWS\system32\spads.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PCDrProfiler]

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [URLLSTCK.exe] c:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [spa_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\sprt_ads.dll" DllStart

O4 - HKLM\..\Run: [SiteAdvisor] C:\Program Files\SiteAdvisor\6253\SiteAdv.exe

O4 - Startup: desktop.ini

O4 - Startup: LimeWire On Startup.lnk

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_05) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.5.0_05) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ARSVC - Microsoft - C:\WINDOWS\arservice.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Servicio SiteAdvisor (SiteAdvisor Service) - McAfee, Inc. - C:\Program Files\SiteAdvisor\6253\SAService.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NAVENG - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20080116.038\NAVENG.Sys

O23 - Service: NAVEX15 - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20080116.038\NavEx15.Sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PS2 (Ps2) - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\DRIVERS\PS2.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnicxp.sys

O23 - Service: Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: SAVRT - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVRT.SYS

O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

[lucl]

Y aqui esta el log de elistara,



Tue Jan 22 17:49:20 2008

EliStartPage v15.48 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Jan 22 17:49:23 2008

EliStartPage v15.48 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4481

Nº Total de Ficheros: 59683

Nº de Ficheros Analizados: 15617

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jan 22 17:55:09 2008

EliStartPage v15.48 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 575

Nº Total de Ficheros: 19560

Nº de Ficheros Analizados: 3919

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





ya comentaras algo, saludos

[msc hotline sat]

Del log hay estas claves sospechosas:





O2 - BHO: MySidesearch Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\mysidesearch_sidebar.dll



O2 - BHO: dcads - {6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} - C:\WINDOWS\system32\nsw98.dll



O2 - BHO: superiorads - {79F562E5-768C-4494-8E6C-824ADA4A9C2C} - C:\WINDOWS\system32\sprt_ads.dll



O2 - BHO: browser optimizer superiorads - {8E015787-B1E3-404a-95DE-3E71E1FA0305} - C:\WINDOWS\system32\spads.dll



O4 - HKLM\..\Run: [spa_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\sprt_ads.dll" DllStart





Por tanto, envianos estos ficheros para analizar, y en funcion de lo que veamos, procederemos con dichas claves:





C:\WINDOWS\system32\mysidesearch_sidebar.dll



C:\WINDOWS\system32\nsw98.dll



C:\WINDOWS\system32\sprt_ads.dll



C:\WINDOWS\system32\spads.dll



C:\WINDOWS\system32\sprt_ads.dll







Ya sabes como, verdad ? :wink:



saludos



ms, 22-1-2008

[lucl]

Ok mañana intentare pasar por su casa y te los envio, ya que les ha entrado miedo escenico y no quieren tocar el pc :lol:

de la primera clave yo tambien tuve mis sospechas nada mas verla ... gracias msc, saludos

[msc hotline sat]

Pues hasta mañana, "lucl". :wink:



saludos



ms, 22-1-2008

[lucl]

Hola msc, ya envie las muestras, confirmame que llegaron. Solo una cosa dile al equipo que si por si acaso no les funciona la contraseña VIRUS que prueben con virus en minusculas que creo que alguno de los archivos esta en minusculas, sorry collejones para mi o como suele decirse en casa del herrero cuchillo de palo, :lol: saludos

[msc hotline sat]

Sí, se han recibido 4 ficheros , (ya he visto que te pedía uno repetido) y si bien hoy no hay tiempo para monitorizarlos, los hemos analizado por encima con el VirusTotal, resultando el primero no virico y los demas sí:



El nsw98.dll es un Agent.YR (No detectado por McAfee)



El Spads.dll es una utilidad potencialmente peligrosa, ya detectado por McAfee



Y el sprt_ads123.dll123 es una utilidad potencialmente peligtrosa, ya detectado por McAfee





Si quieres renombra su extension a .VIR y tras reiniciar ya no molestarán, y mañana ya los examinaremos e implementaremos en nuestras utilidades.



Chao "lucl"



ms, 23.1.2008

[msc hotline sat]

Pues incluso el primero que nadie detecta lo pasamos a considerar malware, ya que crea class y BHO con valos NOEXPLORE igual que algun otro que envias, por lo que entendemos estan relacionados.



Con el ELISTARA de hoy 15.51 estarán controlados



ya sabes, esta tarde lo descargas y lo pruebas



saludos



ms, 24-1-2008

[lucl]

Ok, pues le avisare para que lo pase, tenian buen zoo por lo que veo, y no se porque creo que tiene algo mas, ya iremos viendo. Una cosa extraña es que la carpeta rundull32 no aparece por ningun lado, y tiene cuatro unidades, e, f, g, h que no las puso ella y que son como de camaras y tal y tan solo tiene un pendrive que cuando lo conecta se le abre la unidad J y es donde se leen los archivos....bueno ya te pegaremos el log de infosat cuando lo pasen eso si no se queda de nuevo sin internet, saludos msc

[msc hotline sat]

Pues dos cosas al respecto:



Dices [b][i]"Una cosa extraña es que la carpeta rundull32 no aparece por ningun lado"[/i][/b]



y digo yo que lo extraño sería una carpeta con este nombre ...



pero si la encuentras, avisa :lol: !



Y la segunda, no sé si ya lo has hecho, pero si no, vacuna este ordenador y sus pendrives con el ELIPEN, que usando pendrives y teniendo el parque que tiene, lo mas fácil es que tambien tenga de dicho tipo



Y luego, tras probar el ELISTARA indicado nos posteas el infosat.txt y ya veremos



saludos



ms, 24-1-2008

[lucl]

Je, obviamente la palabra carpeta no va ahi... si no se puede escribir y a la vez pensar que tienes que poner el biberon xd.



El elipen ya lo use, el primer dia :wink: gracias, saludos

[msc hotline sat]

Y lo primero es lo primero ! :wink:



Y no te olvides del mayor, que tambien tendrá hambre pronto...



Por cierto, quizas con los AV ONLINE podrás complementar la tarea...


[quote][url=https://www.eset.es/analisis-online/][b][color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]



y una manera fácil y rápida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:



[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url] [/quote]

Ya me contarás.



saludos



ms, 24-1-2008

[lucl]

Bueno he aqui el infosat





Thu Jan 24 21:17:00 2008

EliStartPage v15.51 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MYSIDESEARCH_SIDEBAR.DLL.Muestra EliStartPage v15.51

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MYSIDESEARCH_SIDEBAR.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\NSW98.DLL --> Eliminado AdWare.Agent.YR(BHO)

Por favor, envienos una muestra del fichero

C:\Muestras\SPRT_ADS.DLL.Muestra EliStartPage v15.51

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SPRT_ADS.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\SPADS.DLL --> Eliminado Adware.IconAds(BHO)

Entrada Eliminada [HKLM\...\Run] "spa_start"="C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\sprt_ads.dll" DllStart"

Eliminada Class, "{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}" -> C:\WINDOWS\system32\mysidesearch_sidebar.dll

Eliminada Class, "{315108E4-E3AF-460F-B264-F2ACC9E1ACEB}" -> C:\WINDOWS\system32\mysidesearch_sidebar.dll

Eliminada Class, "{6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E}" -> C:\WINDOWS\system32\nsw98.dll

Eliminada Class, "{79F562E5-768C-4494-8E6C-824ADA4A9C2C}" -> C:\WINDOWS\system32\sprt_ads.dll

Eliminada Class, "{8E015787-B1E3-404A-95DE-3E71E1FA0305}" -> C:\WINDOWS\system32\spads.dll

Eliminada Class, "{B5533239-2826-4FA8-BCFB-A9A44008FF4B}" -> C:\WINDOWS\system32\mysidesearch_sidebar.dll

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jan 24 21:17:52 2008

EliStartPage v15.51 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\_MYSIDESEARCH_SIDEBAR.DLL --> Eliminado, MySideSearch(BHO)

C:\WINDOWS\system32\_SPRT_ADS.DLL --> Eliminado, Adware.IconAds(BHO)



Nº Total de Directorios: 4478

Nº Total de Ficheros: 59708

Nº de Ficheros Analizados: 15555

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Thu Jan 24 21:25:24 2008

EliStartPage v15.51 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 575

Nº Total de Ficheros: 19560

Nº de Ficheros Analizados: 3919

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jan 24 21:29:42 2008

EliStartPage v15.51 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 575

Nº Total de Ficheros: 19560

Nº de Ficheros Analizados: 3919

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



como ves ha sido efectivo gracias y saludos :lol:

[msc hotline sat]

Bueno, pues ya puedes ir a preparar biberones, lucl ! :lol:



Y solucionados los problemas, procedemos a cerrar el Tema



y si necesitas algo mas...



saludos



ms, 25-1-2008