ayuda porfavor analizen mi log (SOLUCIONADO)

[adrienlor]

Hola a todos!Ya no se que hacer les cuento, un dia empezó a salirme un mensaje de microsoft visual basic++ que ponía "buffer overrun detected..."y se me cerraba el IE y bueno el pc hecho un desastre, inicié em modo a prueba de fallos le pase varios antivirus, antispywares, limpiadores de cookies y entradas de registro...y bueno el mensaje de "buffer overrun" ya no me sale, pero tengo publicidad de adsense en un foro mio y en vez de mostrarme la publi me salen tias en bolas o estos de su pc esta infectado, esto tambien lo veo en otras paginas, elpais.com, marca...cualquiera a la que entre en vez de adsense me sale eso que comento, os dejo el log para que le echeis un vistazo, Porfavor ayudadme!



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:40:58, on 30/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe

C:\ARCHIV~1\KEMailKb\KEMailKb.EXE

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\Archivos de programa\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\Archivos de programa\Telefonica\bin\sprtsvc.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\ARCHIV~1\Grisoft\AVG7\avgw.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Archivos de programa\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {91AF4B7C-E4EB-41A6-B488-17C9E67B310C} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Archivos de programa\Siber Systems\AI RoboForm\roboform.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Trust\305KS WIRELESS OPTICAL DESKSET\Keyboard\kbdap32a.EXE

O4 - HKLM\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [KEMailKb] C:\ARCHIV~1\KEMailKb\KEMailKb.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [BM8f31bfbf] Rundll32.exe "C:\WINDOWS\system32\nktfdlco.dll",s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RoboForm] "C:\Archivos de programa\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: ZDWLan Utility.lnk = C:\Archivos de programa\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Guardar Formularios - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personalizar Menú - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Rellenar Formularios - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O8 - Extra context menu item: RF Barra de Herramientas - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: Rellenar Formularios - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Rellenar Formularios - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Guardar - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Guardar Formularios - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: RF Barra de Herramientas - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://juguetona86.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Archivos de programa\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Archivos de programa\WinPcap\rpcapd.exe

O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe



--

End of file - 11879 bytes

[msc hotline sat]

Pues de entrada envianos este fichero para analizar:



C:\WINDOWS\system32\nktfdlco.dll





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y elimina estas claves:



O2 - BHO: (no name) - {91AF4B7C-E4EB-41A6-B488-17C9E67B310C} - (no file)



O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)





Tras analizar el fichero pedido, implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 30-03-2008

[adrienlor]

muchisimas gracias por responder tan rapido, ya he enviado el archivo, aunque no se si lo habré hecho bien, una cosa, las claves las elimino en modo a prueba de fallos?con red?o normal?es que no entiendo mucho del tema,gracias!

[adrienlor]

ah! y siento los temas repetido, esque me va el ordenador un poco mal, y le di alguna vez de mas a enviar porque pensé que se había colgado, :oops:

[msc hotline sat]

Para eliminar las claves, ya se indica en



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



que debe arrancarse en modo segur0 , lanzar el HJT marcar las claves en cuestion y pulsar FIX CHECKED



saludos



ms, 30-03-2008





NOTA: Y mañana analizaremos el fichero enviado, de momento para saber si es vírico, subelos al VIRUS TOTAL y posteanos el resultado, gracias:



https://www.virustotal.com/es/



saludos



ms, 30-03-2008

[adrienlor]

ok, lo que me refería era si era en modo seguro con red o normal, porque en algun lado a veces dicen con red, será indiferente,ok ahora lo subo, muchas gracias por todo y perdona las molestias, saludos!

[msc hotline sat]

En cada caso, lo suyo. Se indica modo seguro con funciones de red cuando se requiere lanzar un AV ONLINE para lo que se ha de tener acceso a Internet ...



saludos



ms, 30-03-2008

[adrienlor]

Análisis del archivo nktfdlco.dll recibido el 30.03.2008 19:09:47 (CET)Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.3.29.0 2008.03.29 -

AntiVir 7.6.0.78 2008.03.28 TR/Vundo.Gen

Authentium 4.93.8 2008.03.30 -

Avast 4.7.1098.0 2008.03.29 Win32:TratBHO

AVG 7.5.0.516 2008.03.30 -

BitDefender 7.2 2008.03.30 -

CAT-QuickHeal 9.50 2008.03.28 -

ClamAV None 2008.03.30 -

DrWeb 4.44.0.09170 2008.03.30 -

eSafe 7.0.15.0 2008.03.30 -

eTrust-Vet 31.3.5653 2008.03.29 -

Ewido 4.0 2008.03.30 -

FileAdvisor 1 2008.03.30 -

Fortinet 3.14.0.0 2008.03.30 -

F-Prot 4.4.2.54 2008.03.30 W32/Virtumonde.G.gen!Eldorado

F-Secure 6.70.13260.0 2008.03.29 W32/Vundo.gen142

Ikarus T3.1.1.20 2008.03.30 -

Kaspersky 7.0.0.125 2008.03.30 -

McAfee 5262 2008.03.28 -

Microsoft 1.3301 2008.03.30 Trojan:Win32/Vundo.gen!D

NOD32v2 2984 2008.03.29 -

Norman 5.80.02 2008.03.28 -

Panda 9.0.0.4 2008.03.29 -

Prevx1 V2 2008.03.30 Trojan.Vundo

Rising 20.37.61.00 2008.03.30 -

Sophos 4.28.0 2008.03.30 Sus/Behav-200

Sunbelt 3.0.978.0 2008.03.18 -

Symantec 10 2008.03.30 -

TheHacker 6.2.92.258 2008.03.29 -

VBA32 3.12.6.3 2008.03.25 -

VirusBuster 4.3.26:9 2008.03.29 Adware.Vundo.Gen!Pac.18

Webwasher-Gateway 6.6.2 2008.03.30 Trojan.Vundo.Gen



Información adicional

Tamano archivo: 92736 bytes

MD5: e6742d83a0ea31f451bafa42566cb5ef

SHA1: 288eab50256ca0a8addd6ca37c7081eac2180df8

PEiD: -

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E00619E540662EB86AEA01865C60F500B3EA201A

[msc hotline sat]

Pues [i][u]habemus VUNDO[/u][/i] !!!



La hipotesis de que el fichero era malware se confirma! :wink:



Bueno, pues elimina esta clave, si se deja :!: :



O4 - HKLM\..\Run: [BM8f31bfbf] Rundll32.exe "C:\WINDOWS\system32\nktfdlco.dll",s



Ya sabes, en modo seguro...



y si se resiste, prueba renombrar este fichero a extension .VIR , y tras reiniciar pruebalo de nuevo, y si ni así... arranca con el CD de instalacion, accede a la CONSOLA DE RECUPERACION, vas a la carpeta de sistema con



C: <ENTER>

CD WINDOWS <ENTER>

CD SYSTEM32 <ENTER>



Y con un



DEL nktfdlco.dll <ENTER>





lo eliminas. Luego reinicias y ya podrás borrar la clave



En cualquier caso, otros restos los eliminaremos con la version de mañana del ELISTARA, una vez analizado el fichero



saludos



ms, 30-03-2008

[adrienlor]

Ok, ahora voy a intentarlo, saludos!

[msc hotline sat]

Pues comentanos el resultado, gracias



saludos



ms, 30-03-2008

[adrienlor]

ya lo he hecho y creo que se han dejado borrar, acabo de pasarle otra vez el hijackthis y no me salen, y la publicidad de adsense ya me sale normal, le pasaré algún antyspyware, y algun antivirus online, y analizo otra vez el archivo?si todos los médicos fueran tan eficientes como tu no existirían enfermedades! :D

[lucl]

Prueba con este online, nos pegas el log resultante y aver que pasa, saludos



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download

[adrienlor]

en el Virus total el archivo me siguen saliendo los de Vundo y varios más, igual que antes. el log del Kaspersky:



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 31 de marzo de 2008 0:58:08

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 30/03/2008

Registros en la base antivirus: 673501

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

G:\

H:\



Estadísticas:

Número de objeros analizados: 86669

Virus encontrados: 3

Objetos infectados: 5 / 0

Objetos sospechosos: 0

Duración del análisis: 01:45:59



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20080330-213045.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg7\Log\emc.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log.lck Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\SupportSoft\telefonica\SYSTEM\state\logs\sprtcmd.log Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LORENA\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LORENA\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LORENA\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LORENA\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LORENA\Configuración local\Historial\History.IE5\MSHist012008033020080331\index.dat Object is locked saltado

C:\Documents and Settings\LORENA\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe 7-Zip: infectado - 1 saltado

C:\Documents and Settings\LORENA\Mis documentos\blastofstitchss.exe/WISE0014.BIN Infectados: not-a-virus:AdWare.Win32.OneStep.c saltado

C:\Documents and Settings\LORENA\Mis documentos\blastofstitchss.exe/WISE0017.BIN Infectados: not-a-virus:AdTool.Win32.WhenU.a saltado

C:\Documents and Settings\LORENA\Mis documentos\blastofstitchss.exe WiseSFX: infectado - 2 saltado

C:\Documents and Settings\LORENA\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LORENA\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[msc hotline sat]

Pues aparte del fichero ya pedido, envianos tambien estos otros para analizar:



C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe/Toolbar.exe



C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe 7-Zip



C:\Documents and Settings\LORENA\Mis documentos\blastofstitchss.exe/WISE0014.BIN



C:\Documents and Settings\LORENA\Mis documentos\blastofstitchss.exe/WISE0017.BIN



C:\Documents and Settings\LORENA\Mis documentos\blastofstitchss.exe



saludos



ms, 31-03-2008

[BlackStar]

ojo con:



C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado





al menos yo ya tengo experiencia con el, a ver si msc te recomienda que se lo envies :P





usas Daemon Tools? pues al parecer es un driver suyo, pero nunca se sabe, un lema de por aqui.. :P



saludos.

[adrienlor]

no encuentro c:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe/Toolbar.exe y el otro de nero ocupa 200mb y de los blastofstitchss.exe he encontrado un exe y un zip, perdonad es que estas cosas son nuevas para mi :oops:

[msc hotline sat]

Pues mira que no esté oculto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y aunque seguramente será igual que el de BlackStar, envianoslo tambien y los compararemos



De todas formas arranca en modo segur0 y lanza el ELISTARA:





[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







y lo que dices de ZIP o EXE, coge el EXE y lo empaquetas con los demas de la forma que se te indica:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 31-03-2008

[adrienlor]

no me deja enviar C:\WINDOWS\system32\drivers\sptd.sys ni .exe he probado con gmail, con hotmail y con yahoo me ha dejao los otros pero este no. Voy a hacer lo del elistara y os cuento.

[msc hotline sat]

Ya decimos que lo empaquetes en un ZIP o RAR con password VIRUS, asi los antivirus de Internet no detectan el virus y se puede enviar y recibir.



Es tal como enviamos las muestras diariamente a McAfee, desde hace 15 años !



saludos



ms, 31-03-2008

[msc hotline sat]

Recibido fichero[b][i] xczmxanu.exe[/i][/b] en un primer analisis previo resulta ser un VUNDO, por lo que tras monitorizarlo implementaremos su control y eliminacion en el ELISTARA DE HOY, 15.95



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 31-03-2008

[msc hotline sat]

Recibido en otro envio un [b][i]stpd.sys[/i][/b] a cero bytes.



Nada que analizar, pero mira que no lo detectes con el ELISTARA actual, ya que Blackstar nos envio uno ayer que ya tenemos controlado con la actual version 15.84



saludos



ms, 31-03-2008

[adrienlor]

Mon Mar 31 12:40:19 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 31 12:42:06 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular



Nº Total de Directorios: 7827

Nº Total de Ficheros: 85855

Nº de Ficheros Analizados: 28355

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1







El sptd.sys no me deja empaquetarl con winrar me dice que esta en uso.

[msc hotline sat]

Renombra la extension de dicho fichero a .VIR y reinicia en modo seguro, asi espero que no esté en uso y puedas hacerlo



De todas formas, de tal manera prueba el actual ELISTARA, que igual ya lo controlará y eliminará si es igual que el del BlackStar, aunque puede que no...



saludos



ms, 31-03-2008

[adrienlor]

ya le he pasado el elistara, voy a renombrarlo a ver...

[msc hotline sat]

Aparte de renombrarlo a .VIR, posteanos el contenido de c:\infosat.txt para ver el resultado del proceso.



saludos



ms, 31-03-2008

[adrienlor]

ahora al renombrarlo me lo ha eliminado, eso es bueno, no?ya no hace falta que lo envie?





Mon Mar 31 12:40:19 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 31 12:42:06 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular



Nº Total de Directorios: 7827

Nº Total de Ficheros: 85855

Nº de Ficheros Analizados: 28355

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Mon Mar 31 13:31:13 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Mar 31 13:31:20 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\SPTD.VIR --> Eliminado, RootKit(SPTD)



Nº Total de Directorios: 7827

Nº Total de Ficheros: 85859

Nº de Ficheros Analizados: 28354

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Entonces ya no hace falta que nos lo envies :wink: :


[quote]EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\SPTD.VIR --> Eliminado, RootKit(SPTD)[/quote]

Ya lo hemos detectado y eliminado, era la misma variante que la de BlackStar.



Pues puedes estar contento, que trabajo nos costó con BlackStar el pescarlo...



Piensa que los rootKits esconen claves, procesos, ficheros y hasta a ellos mismos !





Ahora será cuestion de mirar los demas ficheros pedidos para analizar...



saludos



ms, 31-03-2008

[adrienlor]

ok, gracias. lo unico que creo que lo envié bien, espero, pero los ficheros

C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe/Toolbar.exe

C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe 7-Zip

no los mandé porque tengo dos de nero pero no coinciden del todo y uno pesa 200mb, y puesto lo de ver archivos y carpetas ocultas, y nada. Una cosa más quité la opción de lo de restaurar sistema porque lo leí por ahí, lo vuelvo a poner, no? saludos!!

[adrienlor]

oye me ha dicho uno de usar el combofix, no se si sabes cual, pero he leido que puede ser arriesgado, mejor no lo uso,no? y espero al analisis de los archivos, saludos!