Virus msn (SOLUCIONADO)

erfon · Mensaje por **erfon** » 24 Mar 2008, 09:08

Hola,

necesito ayuda para poder eliminar un virus que me anulo mi administrador de tareas y se reinicia a cada rato

esta en mi msn

caracteristias de este virus

-manda un mensaje que dice "ei mira te mando unas fotos que me hice ayer espero te gusten " y otros tantos como "Como no tengo idea de que pantalon comprar le tome fotos a 3 de ellos pa que me digas cual te gusta mas." y envia una foto llamada "foto_30"

despues de aparecer este mensaje desaparece la ventana

les agradeceria bastante si me ayudan con este problema que molesta mucho,

muchas gracias

Mensaje por **lucl** » 24 Mar 2008, 09:51

Pues pasate estos dos antitrojanos que te indico y peganos el log que te dejara en C infosat.txt

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

ademas si sabes donde tienes el virus envianoslo para su analisis siempre en caso de que no lo localizen las utilidades que te he indicado, te dejo link de modo de envio

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y para que no se te reinicie el pc prueba esto y a ver si te funciona:

abre inicio y ejecutar y teclea:

SHUTDOWN –a

comentanos tus avances en el tema, saludos

Mensaje por **msc hotline sat** » 24 Mar 2008, 12:20

No creo que sea un shutdown lo que lo reinicia, pues no dice nada de que le avisa que en 60 segundos le va a reiniciar, sino que se le reinicia sin mas...

Efectivamente cabe esperar que con las utilidades que indica lucl se solucione lo del virus de MSN, aunque puede que sea una variante de alguno ya controlado y poda el envio de muestras, que esperamos nos envies para poder analizarlas y controlarlas en proximas versiones de nuestras utilidades, de lo cual informaremos.

Ademas, parece que ya hace días tienes este bicho, todo este mes quizás, nos quivocamos ???

Y lo del reinicio, no necesariamente ha de ser por un virus, aunque lo haya, sino que hay otras causas, como exceso de temperatura de la CPU por no funcionar el ventilador o estar sucio o con una aspa rota... revisalo, gracias

Puedes ver la temperatura seleccionando en Ordenador -> Sensor del AIDA:

[url=http://www.zonavirus.com/datos/descargas/28/EVEREST_Home_Edition.asp]~~[b]~~AIDA32[/b][/url]

Mira si pasa de 55 º C ... y nos lo comentas

saludos

ms, 24-03-2008

erfon · Mensaje por **erfon** » 24 Mar 2008, 18:23

Aca les pongo el C:\Infosat.txt:

Mon Mar 24 12:07:34 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Mar 24 12:08:35 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Nº Total de Directorios: 2717

Nº Total de Ficheros: 26897

Nº de Ficheros Analizados: 7658

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mon Mar 24 12:10:32 2008

EliStartPage v15.90 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 327

Nº Total de Ficheros: 7330

Nº de Ficheros Analizados: 780

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Mar 24 12:13:13 2008

EliTriIP v4.53 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe"

Mon Mar 24 12:13:18 2008

EliTriIP v4.53 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 2716

Nº Total de Ficheros: 26901

Nº de Ficheros Analizados: 7129

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Mar 24 12:14:42 2008

EliTriIP v4.53 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 327

Nº Total de Ficheros: 7330

Nº de Ficheros Analizados: 660

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

se me olvido comentarles tambien de las pags del IE se abren solas con publicidad y se hacen llamar CiD, parece que ya se soluciono esto tambien

bueno lo del reinicio defenitivamente era por un error del hardware pero ya lo solucione.

ayer busque a ver si encontraba algo y lo encontre es un archivo .zip que se envia por el msn sin mas. Enviaré una muestra.

Gracias

Mensaje por **msc hotline sat** » 24 Mar 2008, 20:19

Bien, pues analizaremoa la muestra cuando la recibamos e informaremos.

Pero a la vista que tuvo el CiD, pueden haber quedado Swizzors desconocidos, por lo que conviene nos postee log del HJT :

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

m,s, 24-03-2008

erfon · Mensaje por **erfon** » 24 Mar 2008, 22:08

Log:

Logfile of HijackThis v1.99.1

Scan saved at 04:06:32 p.m., on 24/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\PixArt\PAC207\Monitor.exe

C:\WINDOWS\system32\spool29.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uninorte.edu.co

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Part browse safe hold] C:\Documents and Settings\All Users\Datos de programa\Audio 4 part browse\Aim soft.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft Spool 29 Service] spool29.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [WIN LITE] C:\DOCUME~1\ADMINI~1\DATOSD~1\WARNHE~1\SAFE EGGS.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Saludos

Mensaje por **msc hotline sat** » 25 Mar 2008, 05:08

Pues tenemos tres ficheros sospechosos que debes enviarnos para analizar:

C:\WINDOWS\system32\spool29.exe

C:\Documents and Settings\All Users\Datos de programa\Audio 4 part browse\Aim soft.exe

C:\DOCUME~1\ADMINI~1\DATOSD~1\WARNHE~1\SAFE EGGS.exe

Los dos ultimos parecen nuevas variantes del Swizzor creadas por el CiD, y la primera veremos lo que es. Tras analizarlos, informaremos

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 25-03-2008

Mensaje por **msc hotline sat** » 25 Mar 2008, 05:13

Y sobre el spool29.exe pedido para analizar, puede tartarse de un Backdoor de IRC:

http://www.castlecops.com/s16573-spool29_exe.html

probar el ELITRIIP por si ya lo conocemos como variante de algun virus de MSN:

[quote="para DESCARGAR el ELITRIIP, msc"] http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 25-03-2008

erfon · Mensaje por **erfon** » 25 Mar 2008, 07:10

Elitrip:

Tue Mar 25 00:39:52 2008

EliTriIP v4.53 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Mar 25 00:39:54 2008

EliTriIP v4.53 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 2766

Nº Total de Ficheros: 32110

Nº de Ficheros Analizados: 7441

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Mar 25 00:42:25 2008

EliTriIP v4.53 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 327

Nº Total de Ficheros: 7330

Nº de Ficheros Analizados: 659

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

El primer archivo solocitado spool29.exe lo busque en system32 pero no lo encontré, esta uno que se llama spoolss.dll y otro spoolsv.exe no se si serán esos.

El segundo C:\Documents and Settings\All Users\Datos de programa\Audio 4 part browse\Aim soft.exe si lo encontré, y el tercero C:\DOCUME~1\ADMINI~1\DATOSD~1\WARNHE~1\SAFE EGGS.exe tambien, pero en la misma ruta que estaba el SAFE EGGS.exe: C:\DOCUME~1\ADMINI~1\DATOSD~1\WARNHE~1\ encontre otros 3 archivos .exe sospechosos que son:

Amen Skip Free.exe

browseloadcurbidle.exe

ctaosbnf.exe

estos 5 archivos ya los envié como muestras. Otro problema ahora cada 5 minutos que estoy haciendo algo me bota al escritorio, no se si será por esto, espero ayuda.

Saludos

Mensaje por **lucl** » 25 Mar 2008, 07:41

Cambiale la extension a .VIR, con el boton derecho del raton ya sabes, le quitas el exe y le pones .VIR como te he indicado y no se pondran en marcha a partir del siguiente inicio del pc, pruebalo y nos comentas si te funciona de momento hasta que te den las utilidades que necesites una vez analicen tus envios, saludos

Mensaje por **msc hotline sat** » 25 Mar 2008, 10:42

Pues el Spool29.exe aparece como residente en memoria en el HJT, o sea que ha de estar, puede que oculto...

Mira de buscarlo con Inicio -> Buscar -> Todos los ficheros y carpetas -> Spool29.exe

y si asi tampoco lo encuentras, prueba lo mismo pero arrancando en modo segur0 , y cuando lo encuentres, lo renombras a extension .VIR como te ha indicado lucl, y luego arrancando en modo normal, nos lo envias, como ya sabes

saludos

ms, 25-03-2008

Mensaje por **msc hotline sat** » 25 Mar 2008, 15:55

Pues de las 6 muestras recibidas, 5 son variantes de Swizzor y una SDBOT de MSN

Para los Swizzor implementamos control y eliminacion en el ELISTARA 15.91 DE HOY

Para el SDBOT de MSN implementamos controil y eliminacion en el ELITRIIP 4.54 DE HOY

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 25-03-2008

NOTA: El nuevo ELITRIIP descargalo del link que ya indicamos , y el ELISTARA:

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

ms.

erfon · Mensaje por **erfon** » 25 Mar 2008, 16:09

Gracias.

El archivo spool29.exe tambien lo busque en modo seguro pero no lo encontre, no se de que otra forma buscarlo.

Saludos

Mensaje por **msc hotline sat** » 25 Mar 2008, 16:33

Si en modo segur0 y con Inicio -> Buscar. no lo encontraste, igual lo has eliminado con alguna utilidad que has ejecutado ?

Podrías probar lanzando de nuevo el HJT en modo normal, a ver si entre los residentes aun figura o ya no, en cuyo caso si ya no está es que lo has eliminado, pero tenerlo lo tenías ya que estaba residente cuando lanzaste el primer HJT.

Si aun aparece en el nuevo, dinoslo, pues ya sería cuestion de encontrarlo si aun está... y controlarlo.

En todo caso, elimina su clave de carga:

O4 - HKLM\..\Run: [Microsoft Spool 29 Service] spool29.exe

pues ya ves que no es deseable:

http://www.castlecops.com/s16573-spool29_exe.html

saludos

ms, 25-03-2008

Mensaje por **msc hotline sat** » 25 Mar 2008, 19:02

Ya hemos subido la nueva version del ELITRIIP 4.54

Descargala y pruebala, pues el SPOOL29 es parte de este virus de MSN, y lo crea cuando entra residente

Tras ello, posteanos resultado (infosat,txt) gracias

saludos

ms, 25-03-2008

erfon · Mensaje por **erfon** » 26 Mar 2008, 09:45

Aqui posteo el C:\Infosat.txt:

Wed Mar 26 03:25:18 2008

EliStartPage v15.91 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 26 03:26:20 2008

EliStartPage v15.91 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-1343024091-1637723038-682003330-500\DC31.EXE --> Eliminado, Swizzor(lop)

C:\RECYCLER\S-1-5-21-1343024091-1637723038-682003330-500\DC32.EXE --> Eliminado, Swizzor(lop)

C:\RECYCLER\S-1-5-21-1343024091-1637723038-682003330-500\DC33.EXE --> Eliminado, Swizzor(lop)

C:\RECYCLER\S-1-5-21-1343024091-1637723038-682003330-500\DC34.EXE --> Eliminado, Swizzor(lop)

C:\RECYCLER\S-1-5-21-1343024091-1637723038-682003330-500\DC35.EXE --> Eliminado, Swizzor(lop)

Nº Total de Directorios: 2768

Nº Total de Ficheros: 27049

Nº de Ficheros Analizados: 7659

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

Wed Mar 26 03:29:08 2008

EliStartPage v15.91 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 327

Nº Total de Ficheros: 7329

Nº de Ficheros Analizados: 779

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Wed Mar 26 03:30:11 2008

EliTriIP v4.54 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Microsoft Spool 29 Service"="spool29.exe"

Wed Mar 26 03:30:16 2008

EliTriIP v4.54 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 2160

Nº Total de Ficheros: 18229

Nº de Ficheros Analizados: 3681

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Wed Mar 26 03:31:35 2008

EliTriIP v4.54 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 90

Nº Total de Ficheros: 1234

Nº de Ficheros Analizados: 720

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Wed Mar 26 03:31:51 2008

EliTriIP v4.54 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-1343024091-1637723038-682003330-500\Dc36\foto_030.zip --> Eliminado, SdBot(msn)

Nº Total de Directorios: 2769

Nº Total de Ficheros: 27062

Nº de Ficheros Analizados: 7127

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed Mar 26 03:32:53 2008

EliTriIP v4.54 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 327

Nº Total de Ficheros: 7329

Nº de Ficheros Analizados: 659

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Log del hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 03:37:32 a.m., on 26/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\msiexec.exe

C:\ARCHIV~1\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\Notepad.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uninorte.edu.co

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [extohmd] C:\WINDOWS\system32\extohmd.exe \u

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

parece que el problema ya está solucionado y al spool29.exe lo controló el elitriip por que ya no sale en el hijackthis.

Muchas Gracias por la ayuda.

Saudos

Mensaje por **msc hotline sat** » 26 Mar 2008, 10:23

Pues ya daríamos el Tema por solucionado si no hubiera este fichero atípico:

C:\WINDOWS\system32\extohmd.exe

Si sabes lo que es, nos lo dices, y si no, nos lo envias y lo analizaremos

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 26-03-2008

erfon · Mensaje por **erfon** » 26 Mar 2008, 17:11

La verdad no se que sea ese fichero, lo envié como muestra.

Saludos

Mensaje por **lucl** » 26 Mar 2008, 17:28

Tambien lo puedes subir a virustotal mientras te lo analizan y asi iremos viendo de que se trata, si te da virico peganos el resultado del analisis, saludos

http://www.virustotal.com

Mensaje por **msc hotline sat** » 26 Mar 2008, 17:35

Recibida la muestra, en un analisis previo parece ser un DNSCHANGE, voy a ver si hay log de HJT para ver los servidores de DNS...

Pues lo hay pero no aparece ninguna clave O17 con otras IP de DNS servers maliciosos...

Bueno, no hay tiempo ya para monitorizarlo hoy, pero al ejecutarlo vemos que crea dos ficheros con distinto nombre, para asegurarse la carga, ya que uno lo ejecuta desde un RUN (O4 del HJT) y el otro desde Userinit (F2 del HJT) , es cuestion de encontrar una secuencia de identificacion para su deteccion y ver que hace para deshacerlo, claves que crea y demas, pero será mañana...

De momento cambiar la extension de este fichero a .VIR y si quieres posteanos log del HJT y te diremos claves a eliminar manualmente.

Mañana ya lo implementaremos en el ELISTARA 15.93, pues el 15.92 de hoy ya lo vamos a compilar con lo hecho hasta ahora

saludos

ms, 26-03-2008

erfon · Mensaje por **erfon** » 27 Mar 2008, 08:40

aca esta el resultado de Virustotal.com:

[url]https://www.virustotal.com/es//analisis/b6909e3d47bae626e3ac452fcb8d09cf[/url]

aqui log del hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 02:39:29 a.m., on 27/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\extohmd.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uninorte.edu.co

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [extohmd] C:\WINDOWS\system32\extohmd.exe \u

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Saludos.

Mensaje por **msc hotline sat** » 27 Mar 2008, 09:35

Sí, en el log del HJT ya no aparece el F2 porque debiste pasar antes el ELISTARA, que restaura dicha clave, sea el virus que sea, y en el O4 se mantiene el nombre del fichero ejecutado quizas por no haber aun reiniciado, pues su ejecucion a nosotros nos generó ficheros de nombre distinto al ejecutado, de todas formas es igual porque lo vamos a controlar por cadenas, con lo que los detectaremos independiente del nombre, claro.

Lo curioso del Virus Total es que ninguno coincide en el nombre, por lo que nosotros vamos a identificarlo como malware lowzones. ya que no hemos visto que altere las IP de la configuracion de los servidores de DNS, mientras que sí que baja la seguridad de las distintas zonas.

Lo implementaremos en el ELISTARA 15.93 de hoy , que estará disponible en esta web a artir de las 19 h GMT, para pruebas de evaluacion en el foro de zonavirus.

saludos

ms, 27-03-2008

erfon · Mensaje por **erfon** » 28 Mar 2008, 00:55

resultado C:\Infosat.txt:

Thu Mar 27 18:48:24 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Mar 27 18:48:29 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\IFAP.EXE --> Eliminado, Malware.LowZones

C:\RECYCLER\S-1-5-21-1343024091-1637723038-682003330-500\DC46.EXE --> Eliminado, Malware.LowZones

C:\RECYCLER\S-1-5-21-1343024091-1637723038-682003330-500\DC47.EXE --> Eliminado, Malware.LowZones

C:\WINDOWS\system32\EXTOHMD.VIR.EXE --> Eliminado, Malware.LowZones

Nº Total de Directorios: 2778

Nº Total de Ficheros: 27197

Nº de Ficheros Analizados: 7671

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Thu Mar 27 18:51:28 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 327

Nº Total de Ficheros: 7329

Nº de Ficheros Analizados: 779

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Creo que ahora si está solucionado. Gracias.

Saludos

Mensaje por **msc hotline sat** » 28 Mar 2008, 07:10

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 28-03-2008

Virus msn (SOLUCIONADO)

Virus msn (SOLUCIONADO)

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn

Re: Virus msn