Problema con programa ciberBoss (posible virus)(SOLUCIONADO)

[chiiinoo]

hola soy nuevo por aki ... tengo un problema y necesito ayuda ojala me puedan ayudar.

Tengo una red de 5 maquinas todas se conetan a internet directamente, pero las controlo con un programa q se llama ciberboss.

El problema es que en la maquina que yo manejo (servidor) el programa se cierra de forma espontanea sin ningun mensaje ni nada y en algunas de las maquinas clientes se bloquea como si yo hubiera activado el programa. Pienso q pudiera ser un virus, baje y ejecute las utilidades de elistara y elitriip en todas las maquinas.



El problema de las maquinas clientes parece ser q se soluciono pero el del servidor no, se sigue cerrando el programa inexperadamente.



Les pongo el informe de las herramientas tanto del servidor como el de uno de las maquinas clientes.



Tambien ejecute el SUPERATISPYWARE en el servidor pero no detecto nada el informe quedo en blanco.



[b]

-* MAQUINA SERVIDOR *-[/b]



Sun Dec 09 08:37:43 2007

EliTriIP v4.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 b.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 l.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 e.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com



Sun Dec 09 08:38:27 2007

EliTriIP v4.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{58535A90-1788-44f5-80BB-CFF62D9CE6D5}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Archivos de programa\HP\Temp\{58535A90-1788-44f5-80BB-CFF62D9CE6D5}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)



Nº Total de Directorios: 7728

Nº Total de Ficheros: 95958

Nº de Ficheros Analizados: 11693

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Fri Feb 15 18:36:52 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LDLIST.TXT --> Eliminado (Fichero Complementario).

G:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 b.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 l.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 e.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 15 18:37:30 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\On-line Help Console\INFOVIEW.EXE --> Eliminado, Spy.Delf (BHO)

C:\Matlab\help\base\install\mac\INTRO8.HTML --> Eliminado, MalWare.Celular

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



Nº Total de Directorios: 8124

Nº Total de Ficheros: 99737

Nº de Ficheros Analizados: 16145

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Fri Feb 15 18:53:19 2008

EliTriIP v4.37 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Feb 15 18:53:25 2008

EliTriIP v4.37 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8124

Nº Total de Ficheros: 99731

Nº de Ficheros Analizados: 12621

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Feb 15 19:06:16 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





[b]

-* MAQUINA CLIENTE*-[/b]





Fri Jan 11 20:46:29 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.42

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v15.42

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO0.DLL --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jan 11 20:51:00 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\Archivos de programa\On-line Help Console\INFOVIEW.EXE --> Eliminado, Spy.Delf (BHO)

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



Nº Total de Directorios: 3490

Nº Total de Ficheros: 25447

Nº de Ficheros Analizados: 6620

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5



Fri Jan 11 20:57:41 2008

EliTriIP v4.29 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado



Fri Jan 11 20:57:50 2008

EliTriIP v4.29 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\wextract.exe --> Eliminado, Bifrose (dropper)



Nº Total de Directorios: 3493

Nº Total de Ficheros: 25473

Nº de Ficheros Analizados: 6168

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1



Fri Feb 15 19:43:36 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\\DIALSYS.EXE --> Eliminado Dialupass

C:\WINDOWS\SYSTEM32\AMVO0.DLL.VIR --> Eliminado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 15 19:46:56 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\ComboFix\NIRCMD.COM --> Eliminado, Tool-NirCmd

C:\ErdUndoCache\rp50\A0014403.COM --> Eliminado, Tool-NirCmd

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 4078

Nº Total de Ficheros: 32954

Nº de Ficheros Analizados: 7129

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Ojala me puedan ayudar de antemano MUCHAS GRACIAS



***SALUDOS***

[/u]

[msc hotline sat]

Pues a la vista del informe del infosat tenías muchos bichos, que ya han sido eliminados, pero algunos son de pendrive, y si no lo eliminas de dichos medios, cuando los vuelvas a insertar, volveras a infectar el ordenador...



Pasa el ELISTARA a todos los pendrive que uses, y vacunalos luego con el ELIPEN, igual que a todos los ordenadores, pues estos virus estan de moda y conviene protegerse:





ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp



Por otro lado, este programa que usas para control remoto de los ordenadores, puede que lo haya detectado como apliuccaion potencialmnente peligrosa alguno de los antispywares o antivirus que hayas instalado, sugiero que, tras limpiar y proteger los ordenadores conforme indicado, lo instalaes de nuevo



Y para finalizar, lanza este AV ONLINE , para asegurarnos que no te quede nada virico, y posteanos el resultado con un copiar y pegar:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



saludos



ms, 16-2-2008





NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.

[chiiinoo]

Gracias por la respuesta procedi como me indicaste... Primero desinstale el programa de administracion de remota, luego pase ELISTARA a mi equipo.

Utilice la herramienta ELIPEN para proteger mi equipo y mis memorias USB, por ultimo pase el Kasperski online como me indicaste y abajo pego el reporte que lanzo.



KASPERSKY ONLINE SCANNER INFORME

2008-02-16 17:00

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 16/02/2008

Registros en la base antivirus: 527086

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\

G:\

Estadísticas

Número de objeros analizados 134817

Virus encontrados 8

Objetos infectados 8 / 0

Objetos sospechosos 0

Duración del análisis 02:57:57



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\Eset\infected\0VR0CXCA.NQF Infectados: Rootkit.Win32.Vanti.hq saltado

C:\Archivos de programa\Eset\infected\25PHQRAA.NQF Infectados: Worm.Win32.AutoRun.clq saltado

C:\Archivos de programa\Eset\infected\2MRX0SDA.NQF Infectados: Worm.Win32.AutoRun.clp saltado

C:\Archivos de programa\Eset\infected\3WUYUWAA.NQF Infectados: Trojan-PSW.Win32.OnLineGames.pcf saltado

C:\Archivos de programa\Eset\infected\F4VUDGCA.NQF Infectados: Worm.Win32.AutoRun.cas saltado

C:\Archivos de programa\Eset\infected\KMPRHNDA.NQF Infectados: Trojan.Win32.ShipUp.a saltado

C:\Archivos de programa\Eset\infected\VKGDNXAA.NQF Infectados: Trojan-PSW.Win32.OnLineGames.qyz saltado

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado

C:\Archivos de programa\MySQL\MySQL Server 6.0\data\EQUIPO1.err Object is locked saltado

C:\Archivos de programa\MySQL\MySQL Server 6.0\data\ibdata1 Object is locked saltado

C:\Archivos de programa\MySQL\MySQL Server 6.0\data\ib_logfile0 Object is locked saltado

C:\Archivos de programa\MySQL\MySQL Server 6.0\data\ib_logfile1 Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\ketsurui_lovg@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\ketsurui_lovg@hotmail.com\SharingMetadata\pending.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\ketsurui_lovg@hotmail.com\SharingMetadata\Working\database_D610_D6BE_10D6_A531\dfsr.db Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\ketsurui_lovg@hotmail.com\SharingMetadata\Working\database_D610_D6BE_10D6_A531\fsr.log Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\ketsurui_lovg@hotmail.com\SharingMetadata\Working\database_D610_D6BE_10D6_A531\tmp.edb Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\ketsurui_lovg@hotmail.com\real\members.stg Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\ketsurui_lovg@hotmail.com\shadow\members.stg Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l799xmf0.default\Cache\_CACHE_001_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l799xmf0.default\Cache\_CACHE_002_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l799xmf0.default\Cache\_CACHE_003_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\l799xmf0.default\Cache\_CACHE_MAP_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012008021620080217\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l799xmf0.default\cert8.db Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l799xmf0.default\history.dat Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l799xmf0.default\key3.db Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l799xmf0.default\parent.lock Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l799xmf0.default\search.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\l799xmf0.default\urlclassifier2.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configuración local\Temp\ib230 Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configuración local\Temp\ib231 Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configuración local\Temp\ib232 Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configuración local\Temp\ib233 Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configuración local\Temp\ib234 Object is locked saltado

C:\WINDOWS\system32\DGL\INFO.DGL Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\hkdwin32.exe Infectados: IM-Worm.Win32.Banker.k saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\hpodvd09.log Object is locked saltado

C:\WINDOWS\Temp\~DF3A41.tmp Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\empty.cat Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\msi.dll Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\msiexec.exe Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\msihnd.dll Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\msimsg.dll Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\msisip.dll Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\spmsg.dll Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\spuninst.exe Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\eula.txt Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\msi30_net.cat Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\msi30_w2k.cat Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\msi30_wxp.cat Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\spcustom.dll Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\update.exe Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\update.ver Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\updatebr.inf Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\update_w2k3.inf Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\update_win2k.inf Object is locked saltado

D:\cf7006970d3e3a6a44ce3cf6a1256685\update\update_wxp.inf Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

G:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.





Despues reinstale el programa y parece ser que todo funciona como deberia, aunque el informe mando 8 archivos infectados no se a que se deba.



Espero que el informe te sirva de algo.



--*MUCHAS GRACIAS POR LA AYUDA*---

**SALUDOS**

[msc hotline sat]

El mas importante es :



C:\WINDOWS\system32\[b][i]hkdwin32.exe[/i][/b]



que se ha saltado el antivirus NOD32 y nuestras utilidades, al no se controlado aun, y al parecer es un cazapasswords bancario, nada bueno !





Envianos este fichero para analizar y tras ello pasaremos a controlarlo y ekliminarlo con nuestras nuevas versiones de utilidades, de lo cual informaremos



De momento puede renombrar la extension de dicho fichero a .VIR , para que asi no vuelva a incordiar tras reiniciar.





y para enviarnoslo:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Al mismo tiempo, pero solo para ver si los controlamos en su estado natural (ahora ya estan en cuarentena, y renombrados a NQF) y sino, controlarlos igualmente, envienos estos ficheros:



C:\Archivos de programa\Eset\infected\0VR0CXCA.NQF C:\Archivos de programa\Eset\infected\25PHQRAA.NQF C:\Archivos de programa\Eset\infected\2MRX0SDA.NQF C:\Archivos de programa\Eset\infected\3WUYUWAA.NQF C:\Archivos de programa\Eset\infected\F4VUDGCA.NQF C:\Archivos de programa\Eset\infected\KMPRHNDA.NQF C:\Archivos de programa\Eset\infected\VKGDNXAA.NQF



tras lo cual puede borrarlos, pues las claves de registro que hubieran modificado, ya las restauraremos con nuestras utilidades, una vez analizados.(aunque ahora ya estan aparcados gracias a NOD32)



saludos



ms, 18-2-2008

[chiiinoo]

[b][i]He[/i][/b] enviado los ficheros que me solicitaste, espero te sirvan y me puedas ayudar a eliminarlos completamente.



Muhcas gracias por la ayuda, estare al pendiente para nuevas noticias.



--*SALUDOS*--

[msc hotline sat]

Bien, pues en unas 5 horas, cuando entremos a trabajar en SATINFO, los veremos y procederemos



(Aqui solo son las 4:39 AM ), pero del dia 22, claro :wink: -Cuando para tí deben ser las 21:39 del dia 21...-



saludos



ms, 22-2-2008

[msc hotline sat]

Recibidos los ficheros de cuarentena, en su estado natural son detectados como:



hkdwin32.exe - IM-Worm.Win32.Banker.k

0VR0CXCA.NQF - Rootkit.Win32.Vanti.hq

2MRX0SDA.NQF - Worm.Win32.AutoRun.clp

3WUYUWAA.NQF - Trojan-PSW.Win32.OnLineGames.pcf

25PHQRAA.NQF - Worm.Win32.AutoRun.clq

F4VUDGCA.NQF - Worm.Win32.AutoRun.cas

VKGDNXAA.NQF - Trojan-PSW.Win32.OnLineGames.qyz

KMPRHNDA.NQF - Trojan.Win32.ShipUp.a



Los implementaremos en el ELISTARA para controlarlos en su estado original, si b ien encriptado y con extension NQF resultan inutiles y no los vamos a detectar, puede eliminarlos, si bien las claves de registro y demas restos que hubieran dejado, seran eliminados con dicha utilidad



saludos



ms, 22-2-2008

[chiiinoo]

Gracias por la respuesta, eh descargado el ELISTARA y lo eh pasado por mi equipo.



Eh buscado el archivo hdkwin32.exe y ah desaparecido, los ficheros infectados los elimine manualmente, todo parece funcionar mucho mejor, de cualquier manera envio el InfoSat que lanzo el ELISTARA para que lo cheques ojala te sirva de algo aunque este ultimo es muy pequeño.



Estare al pendiente de nuevas noticias [color=#800000][b]--MUCHAS GRACIAS POR TODA LA AYUDA--[/b][/color]



--*SALUDOS*--



Sat Feb 23 12:00:19 2008

EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\HKDWIN32.EXE --> Eliminado Phishing.Banamex

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 23 12:01:10 2008

EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8038

Nº Total de Ficheros: 100360

Nº de Ficheros Analizados: 16174

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Bueno parece que los que eliminaste manualmente ya no los detecto elistara... Esperemos que siga asi la cosa, confirmasnolo y daremos el tema por solucionado en caso de que asi sea, saludos

[msc hotline sat]

La pena es que los hayas eliminado sin enviarnos muestra como te pediamos que hicieras, pues con ello impides que los podamos analizar e implementar su control y eliminacion para futuros casos.



Si te guardaste muestras envianoslas, sino, tenlo presente para otras veces.



saludos



ms. 24-2-2008

[chiiinoo]

Perdon por no contestar pronto.

Parece q todo funciona mejor muchas gracias, yo creo q el tema se puede dar por cerrado.



Con respecto a los ficheros infectados si los envie son los q estaban en cuarentena por medio de NOD32.



Muchas gracias por la ayuda



--*SALUDOS*--

[msc hotline sat]

Tienes razón, no habia mirado post anteriores, y asi ya controlamos todas estas variantes, incluida la ultima que nos preocupaba:


[quote]EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\HKDWIN32.EXE --> Eliminado Phishing.Banamex[/quote]

y que gracias a las muestras que nos enviaste ya se controla a partir de la 15.72



Pues celebramos que se haya solucionado el problema y procedemos a cerrar el Tema



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 3-3-2008