Problemas con Proxy

[msc hotline sat]

Ciertamente, como indica flacoroo faltan parches, lanza un windowsupdate y actualizalos.

Y centrandonos en el sospechoso zzcatQQ.exe, que te pediamos enviaras muestra, si no lo encuentras ni con:

Inicio -> Buscar -> Todos los ficheros y carpetas -> zzcatQQ.exe

ni de ninguna otra manera, elimina esta clave:

O4 - HKUS\S-1-5-18\..\RunServices: [] zzcatQQ.exe (User 'SYSTEM')



pues ya que parece que hay algo que regenera la configuracion en el registro de los servidores de DNS maliciosos... a ver si con eso lo evitamos

saludos

ms, 21-03-2008

[BlackStar]

bueno indique reiteradas veces que no hallaba el zzcatQQ.exe, por lo cual procedi a eliminar la entrada en el HJT
O4 - HKUS\S-1-5-18\..\RunServices: [] zzcatQQ.exe (User 'SYSTEM')

tras lo cual no han habido cambios de consideracion con lo del DNS Changer ni con la conexion fisica a internet, que era lo que temia


envie dos muetsras de archivos al mail zonavirus@satinfo.es . La primera del actservices que se me pidio, y la otra de un archivo que yo considere altamente sospechoso y que creo es lo que quedaba del Proxy.Agent en la carpeta SZystem Volume Information, esoecificamente se trata del restore del mismo


gracias flacoroo por ese apunte, la verdad no lo habia hecho por problemas de espacio, auque ahora tengo disco duro nuevo y puedo hacerlo

¿podrias indicarme como actualizo a SP2?


saludos, y gracias por estar tan atentos!

[msc hotline sat]

Pues a los otros ficheros que te pedimos muestra y has enviado, de momento renombra su extension a .VIR, para que no se pongan en marcha en el proximo reinicio...

Y actualizar a SP2 se hace lanzando un windowsupdate:

(Con el navegador I.E. abierto, ve a Herramientas y allÍ selecciona WINDOWSUPDATE, y selecciona instalacion rápida.)


y nos cuentas el resultado, gracias

saludos

ms, 21-03-2008

[BlackStar]

estoy a punto de rendirme los problemas de velocidad del internet no se solucionan y busco soluciones con mi proveedor ISP y nada me dicen que debe haber problemas en mi pc y me recomiendan formatear

Pero como se que ustedes me diran que no formatee, sigo aqui dando la lucha

Espero instrucciones acerca de que hacer con el archivo que envie

C:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP1\A0000001.dll Infectados: Trojan-Proxy.Win32.Agent.mc

envie al mail el rachivo A0000001.dll

y ademas pongo una cap de mis conexiones activas a la cual accedi por netstat



saludos.

[msc hotline sat]

Tienes muchos ports a la espera de ordenes remotas ...

Y el fichero que enviaste lo analizaremos cuando volvamos al trabajo, pero no te afecta, ya que al estar en el RESTORE solo una restauracion de sistema a un punto anterior lo restauraría, asi que mas vale que vigilemos los vivos y dejemos en paz a los muertos...

Como que acabo de escribir sobre Rootkits en MBR y tecnicas de ocultamiento, vamos a ver que no tengas un rootkit por ahí que no nos deje ver el bosque:

Hay dos posibilidades al respecto, que esté en ficheros y en sector fñisico (MBR), pero primero lanza este utilidad de McAfee y posteanos el resultado:

http://www.zonavirus.com/descargas/mcaf ... ective.asp

Y sino, probaríamos lo del MBRFIX, pero primero salvariamos lo actual con la opcion /SAVE, en un fichero, para poder analizarlo si fuera el caso.

saludos

ms, 21-03-2008

[BlackStar]

bueno he tenido algunos problemas cvon lo del windowsupdate, aunque seguire intentando :|



probe la utilidad McAfee que me recomendaron y posteo el log que me arrojo





McAfee(R) Rootkit Detective 1.1 scan report

On 21-03-2008 at 22:25:30

OS-Version 5.1.2600

Service Pack 1.0

====================================



Object-Type: SSDT-hook

Object-Name: ZwClose

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwConnectPort

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwCreateProcess

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwCreateProcessEx

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwCreateSection

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwCreateSymbolicLinkObject

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwCreateThread

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwDeleteKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwDeleteValueKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwDuplicateObject

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwEnumerateKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwEnumerateValueKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwFlushKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwInitializeRegistry

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwLoadDriver

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwLoadKey2

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwLoadKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwNotifyChangeKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenFile

Object-Path: C:\WINDOWS\system32\drivers\kl1.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenSection

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwQueryKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwQueryMultipleValueKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwQuerySystemInformation

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwQueryValueKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwReplaceKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwRequestWaitReplyPort

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwRestoreKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwResumeThread

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwSaveKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwSetContextThread

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwSetInformationFile

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwSetInformationKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwSetSecurityObject

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwSetSystemInformation

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwSuspendThread

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwSystemDebugControl

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwTerminateProcess

Object-Path: C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.sys



Object-Type: SSDT-hook

Object-Name: ZwUnloadKey

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: SSDT-hook

Object-Name: ZwWriteVirtualMemory

Object-Path: C:\WINDOWS\system32\drivers\klif.sys



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_POWER

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_READ

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE

Object-Path:



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 00000001ontrolSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 0Jf40M\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: khjeh

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Status: Hidden



Object-Type: Registry-key

Object-Name: 0Jf41M\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: khjeh

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Status: Hidden



Object-Type: Registry-value

Object-Name: a0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: khjeh

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: p0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Hidden



Object-Type: Registry-value

Object-Name: khjeh

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Hidden



Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-key

Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000001ontrolSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Status: Hidden



Object-Type: Registry-key

Object-Name: 0Jf40M\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Status: Hidden



Object-Type: Registry-key

Object-Name: 0Jf41M\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 00000001ontrolSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 0Jf40M\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: khjeh

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Status: Hidden



Object-Type: Registry-key

Object-Name: 0Jf41M\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: khjeh

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Status: Hidden



Object-Type: Registry-value

Object-Name: a0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: khjeh

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: p0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Hidden



Object-Type: Registry-value

Object-Name: khjeh

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Status: Hidden



Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-key

Object-Name: DataEM\ControlSet001\Services\sptd\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data

Status: Hidden



Object-Type: Registry-key

Object-Name: edec4b50-3a44-4ded-86dd-85a4e65c20ea System Provider\*Local Machine*\Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea

Status: Hidden



Object-Type: Registry-key

Object-Name: 0f88886d-d7b0-4839-9f39-5c335ef07898 System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea\0f88886d-d7b0-4839-9f39-5c335ef07898

Status: Hidden



Object-Type: Registry-key

Object-Name: MachineKeyicrosoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea\0f88886d-d7b0-4839-9f39-5c335ef07898

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea\0f88886d-d7b0-4839-9f39-5c335ef07898\MachineKey

Status: Hidden



Object-Type: Registry-value

Object-Name: Item Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea\0f88886d-d7b0-4839-9f39-5c335ef07898\MachineKey

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea\0f88886d-d7b0-4839-9f39-5c335ef07898

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea

Status: Hidden



Object-Type: Registry-key

Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Status: Hidden



Object-Type: Registry-key

Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Value

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Process

Object-Name: RegistryCleaner

Pid: 2572

Object-Path: C:\Archivos de programa\TuneUp Utilities 2008\RegistryCleaner.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: msnmsgr.exe

Pid: 1984

Object-Path: C:\Archivos de programa\MSN Messenger\msnmsgr.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1148

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1800

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 188

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 964

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: nvsvc32.exe

Pid: 716

Object-Path: C:\WINDOWS\System32\nvsvc32.exe

Status: Visible



Object-Type: Process

Object-Name: wdfmgr.exe

Pid: 840

Object-Path: C:\WINDOWS\System32\wdfmgr.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1740

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: alg.exe

Pid: 624

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: avp.exe

Pid: 1928

Object-Path: C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

Status: Visible



Object-Type: Process

Object-Name: avp.exe

Pid: 2796

Object-Path: C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

Status: Visible



Object-Type: Process

Object-Name: usnsvc.exe

Pid: 3728

Object-Path: C:\Archivos de programa\MSN Messenger\usnsvc.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 908

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 884

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Object-Type: Process

Object-Name: guard.exe

Pid: 636

Object-Path: C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 792

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 3180

Object-Path: D:\Configuraciones y Documentos\mauricio\Escritorio\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: InCDsrv.exe

Pid: 1416

Object-Path: C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

Status: Visible



Object-Type: Process

Object-Name: avp.exe

Pid: 672

Object-Path: C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

Status: Visible



Object-Type: Process

Object-Name: services.exe

Pid: 952

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1512

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 768

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: firefox.exe

Pid: 1668

Object-Path: C:\Archivos de programa\Mozilla Firefox\firefox.exe

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 1948

Object-Path: C:\WINDOWS\System32\ctfmon.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1700

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: winampa.exe

Pid: 1888

Object-Path: C:\Archivos de programa\Winamp\winampa.exe

Status: Visible



Scan complete. Hidden registry keys/values: 44





saludos.

[msc hotline sat]

Pues veamos este tan invocado:

C:\WINDOWS\system32\drivers\klif.sys

voy a ver si encuentro informacion, pero en cualquier caso te pediremos que nos lo envies para analizar

Bueno, podría ser un fichero de Kaspersky si lo tuvieras instalado, pero solo utilizaste el ONLINE, asi que no creo... y podría ser un malware camuflado, asi que envianoslo y lo analizaremos y obraremos en consecuencia.


y si quieres, prueba mientras renombrar su extension a .VIR , asi no sería utilizado a partir del proximo reinicio, a ver...

AParte de enviarnoslo, informanos del resultado del cambio de nombre y reiniciar, gracias

saludos

ms, 22-03-2008

[BlackStar]

en efecto, acabo de instalar el trial esta tarde del kaspersky :P



igualmente mando el archivo al mail



saludos.

[msc hotline sat]

Pero instalaste el KAV antes o despues de pasar el antirootkit de McAfee ???



Y en cualquier caso, no deben coexistir dos antivirus residentes, y menos con el Kaspersky!!! (por eso usamos su ONLINE)



Tu tenías instalado el Symantec, es que lo has quitado al poner el Kaspersky ???



Ya nos contarás



saludos



ms, 22-3-2008

[BlackStar]

Pero instalaste el KAV antes o despues de pasar el antirootkit de McAfee ???

lo hice al mismo tiempo, cuando llegue a casa, aunque en todo caso el analisis aquel lo hice DESPUES de haber instalado el trial de KAV

Y en cualquier caso, no deben coexistir dos antivirus residentes, y menos con el Kaspersky!!! (por eso usamos su ONLINE)
Tu tenías instalado el Symantec, es que lo has quitado al poner el Kaspersky ???

sip. La version que tenia de Symantec era 2005, y bueno ahora estoy juntando el dinero para adquirir otro antivirus mas actual antes de que acabe mi trial del KAV


hice mal en hacer eso?


saludos.

[msc hotline sat]

No, pero nos has liado...
Entonces el klif.sys puede ser del Kaspersky, o no.

Yo lo desinstalaría para salir de dudas, y tras ello ver lo que dice el McAfee AntiRootkit detective.

Y por favor, no hagas cosas que no te digamos porque nos despistas y bastante liado está este Flush o DNSCHANGE que te configura la IP de los DNS de Ukraina, como para complicar mas las cosas

Si acaso, despues del log indicado, lanza este AV ONLINE y posteanos el resultado, a ver si detecta algo mas, pero MUY IMPORTANTE, LANZALO HABIENDO ARRANCADO EN MODO SEGUR0 CON FUNCIONES DE RED, para evitar un posible RootKit que nos oculte el fichero y proceso en cuestion, lo cual no hicimos en la otra ocasion que te pedimos lanzar este mismo AV ONLINE

NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, o indicando la utilidad a probar para solucionarlo.

saludos

ms, 22-03-2008

[BlackStar]

No, pero nos has liado...
Entonces el klif.sys puede ser del Kaspersky, o no.

Yo lo desinstalaría para salir de dudas, y tras ello ver lo que dice el McAfee AntiRootkit detective.

he hecho aquello de desinstalar el kaspersky y pasar luego el AntiRootkit y ver asi si el klif.sys formaba parte de lo que instale, aqui esta el resultado:

McAfee(R) Rootkit Detective 1.1 scan report
On 22-03-2008 at 15:39:58
OS-Version 5.1.2600
Service Pack 1.0
====================================

Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.sys

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_POWER
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_READ
Object-Path:

Object-Type: IRP-hook
Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE
Object-Path:

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Unable to access registry key

Object-Type: Registry-key
Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Unable to access registry key

Object-Type: Registry-key
Object-Name: 00000001ontrolSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Status: Unable to access registry key

Object-Type: Registry-key
Object-Name: 0Jf40M\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Status: Unable to access registry key

Object-Type: Registry-value
Object-Name: khjeh
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Status: Hidden

Object-Type: Registry-key
Object-Name: 0Jf41M\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Status: Unable to access registry key

Object-Type: Registry-value
Object-Name: khjeh
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Status: Hidden

Object-Type: Registry-value
Object-Name: a0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Status: Hidden

Object-Type: Registry-value
Object-Name: khjeh
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Status: Hidden

Object-Type: Registry-value
Object-Name: p0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: h0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: khjeh
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: s1
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: s2
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: g0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: h0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-key
Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-key
Object-Name: 00000001ontrolSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Status: Hidden

Object-Type: Registry-key
Object-Name: 0Jf40M\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Status: Hidden

Object-Type: Registry-key
Object-Name: 0Jf41M\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Unable to access registry key

Object-Type: Registry-key
Object-Name: 19659239224E364682FA4BAF72C53EA4td\Cfg
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Unable to access registry key

Object-Type: Registry-key
Object-Name: 00000001ontrolSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Status: Unable to access registry key

Object-Type: Registry-key
Object-Name: 0Jf40M\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Status: Unable to access registry key

Object-Type: Registry-value
Object-Name: khjeh
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Status: Hidden

Object-Type: Registry-key
Object-Name: 0Jf41M\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Status: Hidden

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Status: Unable to access registry key

Object-Type: Registry-value
Object-Name: khjeh
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Status: Hidden

Object-Type: Registry-value
Object-Name: a0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Status: Hidden

Object-Type: Registry-value
Object-Name: khjeh
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Status: Hidden

Object-Type: Registry-value
Object-Name: p0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: h0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: khjeh
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Status: Hidden

Object-Type: Registry-value
Object-Name: s1
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: s2
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: g0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-value
Object-Name: h0
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
Status: Hidden

Object-Type: Registry-key
Object-Name: DataEM\ControlSet001\Services\sptd\Cfg
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data
Status: Hidden

Object-Type: Registry-key
Object-Name: edec4b50-3a44-4ded-86dd-85a4e65c20ea System Provider\*Local Machine*\Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea
Status: Hidden

Object-Type: Registry-key
Object-Name: 0f88886d-d7b0-4839-9f39-5c335ef07898 System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea\0f88886d-d7b0-4839-9f39-5c335ef07898
Status: Hidden

Object-Type: Registry-key
Object-Name: MachineKeyicrosoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea\0f88886d-d7b0-4839-9f39-5c335ef07898
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea\0f88886d-d7b0-4839-9f39-5c335ef07898\MachineKey
Status: Hidden

Object-Type: Registry-value
Object-Name: Item Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea\0f88886d-d7b0-4839-9f39-5c335ef07898\MachineKey
Status: Hidden

Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea\0f88886d-d7b0-4839-9f39-5c335ef07898
Status: Hidden

Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea
Status: Hidden

Object-Type: Registry-key
Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\edec4b50-3a44-4ded-86dd-85a4e65c20ea
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Status: Hidden

Object-Type: Registry-key
Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden

Object-Type: Registry-value
Object-Name: Value
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: InCDsrv.exe
Pid: 932
Object-Path: C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
Status: Visible

Object-Type: Process
Object-Name: firefox.exe
Pid: 1584
Object-Path: C:\Archivos de programa\Mozilla Firefox\firefox.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 1336
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: lsass.exe
Pid: 624
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: nvsvc32.exe
Pid: 1404
Object-Path: C:\WINDOWS\System32\nvsvc32.exe
Status: Visible

Object-Type: Process
Object-Name: winlogon.exe
Pid: 568
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1224
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: guard.exe
Pid: 1348
Object-Path: C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
Status: Visible

Object-Type: Process
Object-Name: csrss.exe
Pid: 544
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: explorer.exe
Pid: 948
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1444
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: smss.exe
Pid: 484
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: wdfmgr.exe
Pid: 1476
Object-Path: C:\WINDOWS\System32\wdfmgr.exe
Status: Visible

Object-Type: Process
Object-Name: NOTEPAD.EXE
Pid: 392
Object-Path: C:\WINDOWS\Notepad.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1136
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1168
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: services.exe
Pid: 612
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 1388
Object-Path: D:\Configuraciones y Documentos\mauricio\Escritorio\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: NOTEPAD.EXE
Pid: 1948
Object-Path: C:\WINDOWS\Notepad.exe
Status: Visible

Object-Type: Process
Object-Name: ctfmon.exe
Pid: 1360
Object-Path: C:\WINDOWS\System32\ctfmon.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1020
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: winampa.exe
Pid: 1300
Object-Path: C:\Archivos de programa\Winamp\winampa.exe
Status: Visible

Object-Type: Process
Object-Name: msnmsgr.exe
Pid: 1424
Object-Path: C:\Archivos de programa\MSN Messenger\msnmsgr.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 804
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Scan complete. Hidden registry keys/values: 44

Y por favor, no hagas cosas que no te digamos porque nos despistas y bastante liado está este Flush o DNSCHANGE que te configura la IP de los DNS de Ukraina, como para complicar mas las cosas

Lo siento, en un comienzo no sabia aquello del bug en ese archivo. Luego leyendo me entere de esa filtracion en la seguridad, y supe que me regañariam no tomare mas medidas a mi juicio y esperare solo sus indicaciones

Si acaso, despues del log indicado, lanza este AV ONLINE y posteanos el resultado, a ver si detecta algo mas, pero MUY IMPORTANTE, LANZALO HABIENDO ARRANCADO EN M0D0 SEGUR0 CON FUNCIONES DE RED, para evitar un posible RootKit que nos oculte el fichero y proceso en cuestion, lo cual no hicimos en la otra ocasion que te pedimos lanzar este mismo AV ONLINE

NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, o indicando la utilidad a probar para solucionarlo.

En modo seguro con funciones de red no pude conectarme a internet, con lo cual no corri el AV online, por lo tanto seguire intentando


saludos

[msc hotline sat]

El sptd.sys parece del Daemon Tools, pero quien sabe ???

Subelo al Virustotal:

https://www.virustotal.com

y, si resulta positivo, posteanos el resultado. Si no nos lo dices pero no hace falta ...

Y dices que no puedes conectar a Internet arrancando en modo seguro con funciones de red ??? usas ADSL a traves de router ???

Con XP y router ADSL deberías poder ... confirmanoslo, gracias

saludos

ms, 22-03-2008

[BlackStar]

bueno como siempre, no estoy exento de problemas

efectivamente tengo el Daemon Tools en mi PC, y bueno cuando trate de subir el archivo para el analisis a VirusTotal tuve el siguiente problema o cuando trato de subirlo en forma directa por el browse de la pagina me dice esto :


0 bytes size received / Se ha recibido un archivo vacio


Cuando trato de convertirlo en un rar para enviarlo por mail a virustotal



ahh, desinstale el Daemon pero el archivo sigue ahi y sigue siendo utilizado por otra persona


saludos.

[BlackStar]

ahh bueno he notado algo mientras doy inicio en Modo Seguro con Funciones de Red, intentando hacer el analisis con el KAV

hay una pantalla negra donde en una fraccion de segundos corren hacia abajo una serie de drivers que se estan cargando(o eso al menos creo yo que son), y luego hay una pantalla completamente negra donde abajo me sale lo siguiente:

Press Esc to cancel Loading SPTD.SYS

recalco que ya elimine el daemon

Y dices que no puedes conectar a Internet arrancando en modo seguro con funciones de red ??? usas ADSL a traves de router ???

Con XP y router ADSL deberías poder ... confirmanoslo, gracias

saludos

digo que no me puedo conectar a internet pues cuando voy a conexiones de red no me aparece el icono para Conectarme a internet, y cuando doy al acceso directo 'Conectar' no ocurre nada

No, no uso router a proposito


saludos.

[msc hotline sat]

Si no usas router es logico que no puedas acceder a internet arrancando en modo seguro con funciones de red.



Copia este sptd.sys a cualquier carpeta, y accediendo al VirusTotal, navega hasta dicha carpeta y envialo, al menos asi sabremos si se tratad e un malware



saludos



ms, 23-03-2008

[BlackStar]

bueno señalaba que no me deja hacer nada con el archivo (sptd.sys) no me deja copìarlo, ni cortarlo, nio convertirlo en .rar ni nada. lo unico que puedo hacer es eliminarle pero...



tampoco me imagino como 'desbloquearlo' para poder copiarlo y asi enviarlo :/







saludos.

[msc hotline sat]

Arranca en modo segur0 y mira si asi puedes moverlo, copiarlo y si es asi copialos a otra parte y luego, arrancando en modo normal miras de enviar este que has copiado



saludos



ms, 24-03-2008

[BlackStar]

bueno de este modo ha funcionado, copie el archivo en modo seguro y lo pegue en una carpeta distinta, lo he enviado a VirusTotal y no detecto nada, sin embargo pienso que debe haber algo en el archivo original, pues es por algo que lo carga al comienzo y no me deja hacer nada con el :(





File sptd.sys received on 03.21.2008 15:29:39 (CET)

Current status: finished

Result: 0/32 (0.00%)



Antivirus Version Last Update Result



AhnLab-V3 2008.3.20.2 2008.03.21 -

AntiVir 7.6.0.75 2008.03.20 -

Authentium 4.93.8 2008.03.20 -

Avast 4.7.1098.0 2008.03.21 -

AVG 7.5.0.516 2008.03.21 -

BitDefender 7.2 2008.03.21 -

CAT-QuickHeal 9.50 2008.03.20 -

ClamAV 0.92.1 2008.03.21 -

DrWeb 4.44.0.09170 2008.03.21 -

eSafe 7.0.15.0 2008.03.18 -

eTrust-Vet 31.3.5631 2008.03.21 -

Ewido 4.0 2008.03.21 -

FileAdvisor 1 2008.03.21 -

Fortinet 3.14.0.0 2008.03.21 -

F-Prot 4.4.2.54 2008.03.20 -

F-Secure 6.70.13260.0 2008.03.21 -

Ikarus T3.1.1.20 2008.03.21 -

Kaspersky 7.0.0.125 2008.03.21 -

McAfee 5256 2008.03.20 -

Microsoft 1.3301 2008.03.21 -

NOD32v2 2966 2008.03.21 -

Norman 5.80.02 2008.03.20 -

Panda 9.0.0.4 2008.03.20 -

Prevx1 V2 2008.03.21 -

Rising 20.36.42.00 2008.03.21 -

Sophos 4.27.0 2008.03.21 -

Sunbelt 3.0.978.0 2008.03.18 -

Symantec 10 2008.03.21 -

TheHacker 6.2.92.250 2008.03.19 -

VBA32 3.12.6.3 2008.03.21 -

VirusBuster 4.3.26:9 2008.03.20 -

Webwasher-Gateway 6.6.2 2008.03.21 -

Additional information

File size: 685816 bytes

MD5: d390675b8ce45e5fb359338e5e649329

SHA1: 9e9e14633460ce7d5440a9066aa70b8f34b8b6dd

PEiD: -



saludos.

[BlackStar]

un nuevo analisis del kaspersky online, lo hice en modo normal, sin embargo detecto cosas en el stpd.sys :|





KASPERSKY ONLINE SCANNER INFORME

martes, 25 de marzo de 2008 2:05:35

Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 25/03/2008

Registros en la base antivirus: 594464

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

G:\

Estadísticas

Número de objeros analizados 55682

Virus encontrados 3

Objetos infectados 10 / 0

Objetos sospechosos 0

Duración del análisis 01:36:13



Bombre del objeto infectado Nombre del virus Última acción

C:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP1\A0000001.dll Infectados: Trojan-Proxy.Win32.Agent.mc saltado

C:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP5\change.log Object is locked saltado

C:\WINDOWS\$NtUninstallKB833987$\sxs.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\callcont.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\cmdevtgprov.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\evtgprov.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\h323.tsp Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\helpctr.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\msgina.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\mst120.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB835732$\schannel.dll Object is locked saltado

C:\WINDOWS\CSC\00000001 Object is locked saltado

C:\WINDOWS\Debug\oakley.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

D:\Configuraciones y Documentos\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

D:\Configuraciones y Documentos\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

D:\Configuraciones y Documentos\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

D:\Configuraciones y Documentos\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

D:\Configuraciones y Documentos\LocalService\NTUSER.DAT Object is locked saltado

D:\Configuraciones y Documentos\LocalService\NTUSER.DAT.LOG Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Messenger\teban1@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Messenger\teban1@hotmail.com\SharingMetadata\pending.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Messenger\teban1@hotmail.com\SharingMetadata\Working\database_5A04_7883_478_63C3\dfsr.db Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Messenger\teban1@hotmail.com\SharingMetadata\Working\database_5A04_7883_478_63C3\fsr.log Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Messenger\teban1@hotmail.com\SharingMetadata\Working\database_5A04_7883_478_63C3\fsrtmp.log Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Messenger\teban1@hotmail.com\SharingMetadata\Working\database_5A04_7883_478_63C3\tmp.edb Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\teban1@hotmail.com\real\members.stg Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\teban1@hotmail.com\shadow\members.stg Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\Cache\_CACHE_001_ Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\Cache\_CACHE_002_ Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\Cache\_CACHE_003_ Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\Cache\_CACHE_MAP_ Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Historial\History.IE5\MSHist012008032520080326\index.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Temp\~DF7807.tmp Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Temp\~DF83C5.tmp Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Temp\~DFA412.tmp Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Configuración local\Temp\~DFA44E.tmp Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Cookies\index.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\cert8.db Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\formhistory.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\history.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\key3.db Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\parent.lock Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\search.sqlite Object is locked saltado

D:\Configuraciones y Documentos\mauricio\Datos de programa\Mozilla\Firefox\Profiles\zwkq6xuc.default\urlclassifier2.sqlite Object is locked saltado

D:\Configuraciones y Documentos\mauricio\ntuser.dat Object is locked saltado

D:\Configuraciones y Documentos\mauricio\ntuser.dat.LOG Object is locked saltado

D:\Configuraciones y Documentos\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

D:\Configuraciones y Documentos\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

D:\Configuraciones y Documentos\NetworkService\NTUSER.DAT Object is locked saltado

D:\Configuraciones y Documentos\NetworkService\NTUSER.DAT.LOG Object is locked saltado

D:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\Dd1124.dll Infectados: Trojan-Proxy.Win32.Agent.mc saltado

D:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\Dd1130.rar/rsvp32_2.dll Infectados: Trojan-Proxy.Win32.Agent.mc saltado

D:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\Dd1130.rar RAR: infectado - 1 saltado

D:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\Dd1138.EXE Infectados: Trojan-Downloader.Win32.IstBar.ry saltado

D:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\Dd1139.EXE Infectados: Trojan-Downloader.Win32.IstBar.se saltado

D:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\Dd1140.EXE Infectados: Trojan-Downloader.Win32.IstBar.se saltado

D:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\Dd1151.rar/A0000001.dll Infectados: Trojan-Proxy.Win32.Agent.mc saltado

D:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\Dd1151.rar RAR: infectado - 1 saltado

D:\RECYCLER\S-1-5-21-1417001333-527237240-839522115-1003\Dd1179.dll Infectados: Trojan-Proxy.Win32.Agent.mc saltado

D:\System Volume Information\_restore{21AA0417-1DCE-445B-B5B3-E5EF8C9090AE}\RP5\change.log Object is locked saltado

Análisis completado.





espero con esto se develen mas cosas :(



saludos.

[msc hotline sat]

Pues todos los infectados ya los tienes en la papelera, asi que vacia la papelera...



Y cuando recibamos las muestras las analizaremos, pero sorprende que nadie encuentre nada en este fichero sptd.sys, quizas un nuevo rootkit ??? ya veremos



Tras analizarlos, informaremos



saludos



ms, 25-03-2008

[BlackStar]

si pudieran darme mas ayuda acerca de como enviar este stpd.sys, no se me ocurre como podria hacerlo :S





bueno dejo algunos apuntes acerca de este archivo:



-Cuando inicio en Modo Seguro, en la parte inferior de la pantalla aparece un mensaje



'Press Esc to cancel. Loading STPD.SYS



poniendo Esc el archivo se puede enviar sin problemas y copiar a cualquier parte, sin embargo en la descripcion del archivo aparenta ser un componente mas de drivers, pero cuando le dejo cargar en el inicio del modo seguro, no me deja copiarlo ni enviarlo ni nada :(



el detalle es que cuando no dejo que cargue parece que tampoco carga lo 'malicioso' :/



saludos.

[msc hotline sat]

Igual no es nada, pero mas vale asegurarse.



Excepcionalmente, empaquetalo en un ZIP y anexalo a tu siguiente post, ya que no se detecta virus en él...



Asi lo podremos analizar y monitorizar.



saludos



ms, 25-03-2008

[BlackStar]

señalaba que el archivo no me deja hacer nada, ni copiarlo ni hacer un zip con el cuando CARGA.



Como vera, tampoco puedo adjuntarlo aca en el mensaje :(



Enviare el archivo que aparece como 'no infectado', al detener el Loading antes de arrancar en modo seguro :wink:





saludos.

[BlackStar]

adjunto el archivo que es el que logro obtener de la cancelacion del loading de stpd.sys arrancando en modo seguro :wink:



saludos.

[msc hotline sat]

Descargado y comprobado que con VirusTotal nadie detecta nada.



Mañana lo analizaremos y monitorizaremos e informaremos del resultado



saludos



ms, 25-03-2008

[BlackStar]

bueno pense que no seria perjudicial pasar el elitriIP que no lo habia pasado, aqui va el log:





Tue Mar 25 16:15:33 2008

EliTriIP v4.54 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Mar 25 16:15:44 2008

EliTriIP v4.54 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2369

Nº Total de Ficheros: 27663

Nº de Ficheros Analizados: 9124

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[BlackStar]

antes que nada les doy las gracias por ayudarme en lo posible. Tratare de formatear aunque me duela en el alma, sera terrible hacerlo, pero no puedo aguantar mas con este problema. Espero sea la solucion definitiva.



Den por cerrado este tema (aunque bueno no me contestaron mas :( al menos me hubieran dicho que no querian ayudarme o no se que :/ )





gracias sin embargo :wink:



saludos.

[msc hotline sat]

ELISTARA

---v15.92-(26 de Marzo del 2008) (Muestras de (17)PWS-OnLineGames.AMVO, (5)PWS-OnLineGames.KAVO, (2)Swizzor(lop) y RootKit(SPTD) "SPTD.SYS")

Es un RootKit que gracias a enviarnoslo pudimos analizarlo y controlarlo como ya indicamos

Prueba dicha version y nos posteas el infosat resultante, gracias

saludos

ms, 28-03-2008


NOTA: Y estas en tu derecho de formatear, pero que despues de atenderte en casi 60 post, pienses que no queremos ayudarte... Estábamos pendientes de que probaras la utilidad en cuestion tras haberte dicho que al dia siguiente lo haríamos (el día 25 se indicó: "Mañana lo analizaremos y monitorizaremos e informaremos del resultado" y asi se hizo e informó. Recuerda que no se contesta particularmente sino para el foro en general, aunque a veces me extralimite y lo haga por exceso, como ahora !

ms.

[BlackStar]

pido perdon por lo que dije acerca de que no querian ayudarme, me excedi y no valore a priori lo que han hecho por mi en estos 60 posts :( lo siento de veras



me alegro que se haya localizado el rootkit, probare ahora mismo la utilidad :D



y por supuesto que no deseo formatear, he adoptado su politica como mia y deseo dar lucha hasta el final. Fue un arranque de impotencia al ver que mi maquina seguia mal



Informare a la brevedad de los resultados.





saludos.