VIRUS TRJ/DOWNLOADER.MDW Y POGRAMAS SOSPECHOSOS (SOLVED)

[nothing]

Hola:



Os cuento el problema:



Hace unos dias mi antivirus (panda) me encontró un programa sospechoso ubicado en windows\system32\drivers[b]\spools.exe [/b]y el anti-virus lo bloqueó, seguidamente apareció otro programa sospechoso detectado ubicado en documents and settings\[b]cftmon.exe [/b]y también lo bloqueó.

Aparte de estos 2 programas sospechosos me localizó también un virus: [b]trj/downloader.MDW[/b], en la siguiente ubicación: windows\system32\ftp33.dll, con resultado de desinfectado por Panda.



El problema es que en cada reinicio del ordenador vuelven a aparecer me bloquea los programas sospechosos y desinfecta el virus, pero veo que no es capaz de eliminar definitivamente... :evil: :cry:



Me llama la atención de que el archivo SPOOLS.EXE, no se puede eliminar y el cftmon.exe se borra...pero vuelve a aparecer...También me he dado cuenta que en el firewall de mi anti-virus en los programas que tienen acceso a la red aparece un tal..."cftmon.exe" (del cual no conozco) lo eliminó pero más tarde vuelve a aparecer :twisted:



QUE PUEDO HACER :?: :?: :?: (la verdad es que estoy un poco desesperado...)



Os pego el hihackthis:Logfile of HijackThis v1.99.1

Scan saved at 17:39:40, on 02/05/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\spools.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AVENGINE.EXE

c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\WebProxy.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavBckPT.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\psimreal.exe

C:\Documents and Settings\Bergada\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{653B63FF-784B-429C-B1D3-2CFA7B774D01}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe





MUCHAS GRACIAS!!!

[mikmatcr]

Primero que todo pasa estas utilidades:



[url]http://www.zonavirus.com/descargas/elistara.asp[/url]



[url]http://www.zonavirus.com/descargas/elitriip.asp[/url]



Y nos pegas el infosat que se guardara en C:

[lucl]

Deberias ademas instalar el sp2 pues todavia estas con el xp sp1. Hazlo y podras actualizar tu pc para tapar agujeros importantes, saludos



https://support.microsoft.com/es-es/help/12373/windows-update-faq

[nothing]

Aqui teneis los resultados:



Fri May 02 17:07:02 2008

EliStartPage v16.20 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri May 02 17:08:53 2008

EliStartPage v16.20 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3320

Nº Total de Ficheros: 46821

Nº de Ficheros Analizados: 13973

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri May 02 19:37:37 2008

EliTriIP v4.67 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Fri May 02 19:37:54 2008

EliTriIP v4.67 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3320

Nº Total de Ficheros: 47532

Nº de Ficheros Analizados: 12766

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Muchas gracias!!!

[nothing]

[quote="lucl"]Deberias ademas instalar el sp2 pues todavia estas con el xp sp1. Hazlo y podras actualizar tu pc para tapar agujeros importantes, saludos



https://support.microsoft.com/es-es/help/12373/windows-update-faq[/quote]

Gracias, lucl por la sugerencia, cuando solucione el problema de virus, voy a actualizar windows con el sp2 :wink:



Saludos!

[mikmatcr]

Se me olvido decirte que reiniciaras y nos dice si sigue tu problema. Reinicia y nos cuentas!!!!

[mikmatcr]

Si despues de reiniciar sigue el problema, pasate este AV ONLINE y nos pegas el resultado.



[url]https://www.kaspersky.es/downloads/thank-you/free-antivirus-download[/url]



NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia.( Esta nota pertenece a "MSC", créditos para él).

[msc hotline sat]

Está claro que tienes estos dos ficheros sospechosos:



C:\WINDOWS\system32\drivers\spools.exe



C:\Documents and Settings\Bergada\cftmon.exe



(este CTFMON.EXE no es el del Office, no te confundas de carpeta)



Prueba el ELITRIIP, y si no los detecta. emvianoslos y los analizaremos e implementaremos su control y eliminacion en la proxima version de nuestras utilidades:


[quote="para DESCARGAR el ELITRIIP, msc"] http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si quieres, renombra dichos ficheros a extension .VIR para que no se pongan en marcha a partir del proximo reinicio y nos los envias:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 2-05-2008



NOTA: y si aun tienes este c:\windows\system32\ftp33.dll envianoslo tambien empaquetado cpn los demas, con password VIRUS. ms.

[nothing]

Gracias por la ayuda!



De momento estoy testeando mi pc con el scan de kapersky, a ver si me localiza algo...



He probado con elistrip, he reiniciado y el programa malicioso vuelve a aparecer :evil: Panda me lo bloquea pero no lo puede eliminar...



En cuando termine el escaneo de kapersky os informo de los resultados.



Saludos!

[lucl]

No te olvides enviarnos las muestras que te ha pedido msc asi las analizaremos yte daremos la herramienta necesaria para eliminarlo, cuando lo hagas nos informas, saludos

[msc hotline sat]

Y dices [b][i]"He probado con elistrip, he reiniciado y el programa malicioso vuelve a aparecer Panda me lo bloquea pero no lo puede eliminar..."[/i][/b]



Pues desactiva el antivirus cuando pruebes el ELITRIIP o arranca en modo seguro para ello, y asi no estará residente el AV y no incordiará.



saludos



ms, 3-05-2008

[nothing]

Aqui teneis el informe del kaspersky:



KASPERSKY ONLINE SCANNER INFORME

sábado, 03 de mayo de 2008 9:51:35

Sistema operativo: Microsoft Windows XP Professional, (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 2/05/2008

Registros en la base antivirus: 657763





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\



Estadísticas

Número de objeros analizados 55524

Virus encontrados 5

Objetos infectados 9 / 0

Objetos sospechosos 0

Duración del análisis 02:24:36



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\6e21bd90bb6e481ad37945676481f543PSK_NAMES Object is locked saltado



C:\Archivos de programa\Panda Security\Panda Internet Security 2008\6e21bd90bb6e481ad37945676481f543PSK_NAMES2 Object is locked saltado



C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\MshConf\scoffset.bin.incr Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\sentinel\2.1\gwhashs.dat Object is locked saltado



C:\Documents and Settings\Bergada\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Bergada\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Bergada\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Bergada\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Bergada\Configuración local\Historial\History.IE5\MSHist012008050220080503\index.dat Object is locked saltado



C:\Documents and Settings\Bergada\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Bergada\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Bergada\NTUSER.DAT.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Muestras\SMSS.EXE.Muestra EliStartPage v16.20 Infectados: Trojan.Win32.Delf.bea saltado



[b]C:\System Volume Information\_restore{B3A84B58-FAA9-4B4E-AACF-2C0139748915}\RP186\A0012527.exe Infectados: Trojan.Win32.Delf.bea saltado [/b]



C[b]:\System Volume Information\_restore{B3A84B58-FAA9-4B4E-AACF-2C0139748915}\RP186\A0012530.exe Infectados: Trojan-Downloader.Win32.IstBar.rj saltado [/b]

[b]C:\System Volume Information\_restore{B3A84B58-FAA9-4B4E-AACF-2C0139748915}\RP187\A0012886.dll Infectados: Trojan-Downloader.Win32.Small.tra saltado [/b]

[b]C:\System Volume Information\_restore{B3A84B58-FAA9-4B4E-AACF-2C0139748915}\RP190\A0012970.dll Infectados: Trojan-Downloader.Win32.Small.tra saltado [/b]

[b]C:\System Volume Information\_restore{B3A84B58-FAA9-4B4E-AACF-2C0139748915}\RP190\A0013006.dll Infectados: Trojan-Downloader.Win32.Small.tra saltado [/b]

C:\System Volume Information\_restore{B3A84B58-FAA9-4B4E-AACF-2C0139748915}\RP192\change.log Object is locked saltado



C:\WINDOWS\Debug\oakley.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SoftwareDistribution\EventCache\{C4F6E214-9EBA-493B-B5F0-59AB1CEBA9BD}.bin Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Object is locked saltado



C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C[b]:\WINDOWS\system32\drivers\SPOOLS.exe Infectados: Trojan-Downloader.Win32.Small.uyl saltado [/b]



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C[b]:\WINDOWS\system32\wrlzma.dll Infectados: Trojan-Clicker.Win32.Small.to saltado

[/b]C[b]:\WINDOWS\system32\~3224.tmp Infectados: Trojan-Downloader.Win32.Small.tra saltado

[/b]C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[nothing]

[quote="msc hotline sat"]Está claro que tienes estos dos ficheros sospechosos:



C:\WINDOWS\system32\drivers\spools.exe



C:\Documents and Settings\Bergada\cftmon.exe



(este CTFMON.EXE no es el del Office, no te confundas de carpeta)



Prueba el ELITRIIP, y si no los detecta. emvianoslos y los analizaremos e implementaremos su control y eliminacion en la proxima version de nuestras utilidades:


[quote="para DESCARGAR el ELITRIIP, msc"] http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si quieres, renombra dichos ficheros a extension .VIR para que no se pongan en marcha a partir del proximo reinicio y nos los envias:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 2-05-2008



NOTA: y si aun tienes este c:\windows\system32\ftp33.dll envianoslo tambien empaquetado cpn los demas, con password VIRUS. ms.[/quote]



Muestras enviadas, c:\windows\system32\ftp33.dll, no lo he localizado

[lucl]

Para eliminar los virus que tienes en restore solo tienes que desactivar la restauracion del sistema , arrancar en modo seguro tu pc y pasar tu antivirus, luego inicias en modo normal y listo, ademas debes enviarnos este archivo que el online te detecta como malicioso



C:\WINDOWS\system32\[b]wrlzma.dll [/b]



saludos

[msc hotline sat]

Sí, gracias lucl, y tambien estos otros :



[b][i]C:\Muestras\SMSS.EXE.Muestra EliStartPage v16.20



C:\WINDOWS\system32\~3224.tmp [/i][/b]



ademas del que indicas tu:



[b][i]C:\WINDOWS\system32\wrlzma.dll [/i][/b]



junto con los que ya pediamos:



[b][i]C:\WINDOWS\system32\drivers\spools.exe



C:\Documents and Settings\Bergada\cftmon.exe[/i][/b]





En cuanto los recibamos procederemos a su analisis e implementaremos su control y eliminacion en nuestras utilidades.



saludos



ms, 3-05-2008

[nothing]

Muestras enviadas!



Por cierto he desactivado la restauracion del sistema, reiniciando a prueba de fallos y finalmente pasar el anti-virus, pero de momento todo sigue igual :cry: . De todas formas gracias lucl por la ayuda :wink:



Además ahora mi pc se ha relantizado de una manera increible :evil: , tanto para navegar por internet como para cerrar o reiniciar mi pc (casi tarda 10 minutos para cerrar el pc..)



Creo que es evidente que el problema reside en estos 2 malditos ficheros cftmon.exe y SPOOLS.exe :evil: :evil: :evil: . Incluso he mirado en "procesos del sistema en "administrador del sistema" y aparecen los 2! No se si le puedo dar a terminar proceso en estos archivos o no :?: Se pueden eliminar desde "ejecutar" :?:



Gracias por la ayuda!

[nothing]

He ejecutado el programa Sprocess, me ha dado la lista de los programas .exe y en ellos he encontrado el maldito CFTMON.EXE, le he dado doble click y a dejado de ejecutarse. Por cierto habia 2 CFTMON.EXE uno asi y el otro con asterisco CFTMON.EXE* . Le he dado doble click a los 2!!!



De momento he solucionado que la respuesta de mi pc es mucho más rápida (como antes) tanto navegando por internet como utilizando el pc. Lo malo ha sido que en la lista también estaba el otro archivo SPOOLS.EXE , pero no me lo deja desactivar!

[nothing]

finalmente también he podido desactivar el proceso del SPOOLS.exe y de esta manera he podido borrar estos 2 ficheros de su ubicacion en windows\sistem32\drivers\ SPOOLS y el CFTMON.EXE que se encontraba en el en documents and settings. En principio mi antivirus no detecta nada de virus ni programas maliciosos. El ordenador ya no va lento. He reiniciado y...

Al abrir por ejemplo agregar programas me dice que no puede encontrar el archivo "rundll32.exe"??? Me parece que no he borrado nada de esos, solamente he eliminado los archivos SPOOLS.EXE Y CFTMON.EXE.

Como puedo recuperar el "rundll32.exe" :?: :?:



Gracias;

[msc hotline sat]

Pues parece que has eliminado la DLL (wrlzma.dll) que lanzaba a traves del RUNDLL32.exe, y al no encontrarlo, da el error.



[b][i]Deciamos que la enviaras, no que la eliminaras...[/i][/b]



Mañana analizaremos la muestra en cuestion y desarrollaremos la siguiente version del ELISTARA para que elimine dicha chave.



Otra manera sería encontrar con el BUSCAREG dicha clave y eliminarla, pero veamos si lo podemos hacer mas facilmente como hemos indicado.



saludos



ms, 4-05-2008

[nothing]

Pues no he borrado este archivo, DLL (wrlzma.dll). He mirado y veo que este archivo esta en su sitio.



solo he borrado los 2 archivos CFTMON.EXE Y SPOOLS.EXE.



Saludos;

[msc hotline sat]

Pues como que supongo que nos los has enviado para analizar, como te pediamos, mañana los analizaremos e implementaremos en la proxima version de nuestras utilidades su control y eliminacion, de ficheros y claves correspondientes, de lo cual informaremos



saludos



ms, 4-05-2008

[msc hotline sat]

Una primer analisis sobre el fichero recibido indica ser un malware identificado como Downloader.Win32.Small.uyl



Entra en cola de monitorizacion y se controlará con el ELISTARA, de lo cual informaremos



saludos



ms, 5-5-2008

[nothing]

Gracias, pero mi problema actualmente es que no puedo abrir ningún programa de mi ordenador (elistara,elistrip,ad-aware...) incluso no me deja abrir "agregar o quitar programas".

Me sale una pantallita con un cruz roja que dice que no encuentra la ruta. Y en otros programas no encuentra en el fichero "rundll32.exe".



Pero, vamos a ver si todo tiene relación y pronto todo vaya a funcionar correctamente.



Saludos





NOTA: Revisando el Tema, veo de donde puede venir el problema: decias "[b][i]solo he borrado los 2 archivos CFTMON.EXE Y SPOOLS.EXE.[/i][/b]" Pues craso error ! no deben eliminarse los ficheros sospechosos sin analizarlos y muchas veces antes deben eliminarse las claves de carga o de proteccion creadas por el CODER, para evitar circunstancias como la que tienes... que te sirva de experiencia :wink: ms.

[msc hotline sat]

Pues dos cosas. Hoy no ha podido monitorizarse dada la aglomeracion de muestras y las tuyas se procesarán mañana, si Dios quiere.



Pero vamos a lo que ahora importa, que es el problema de acceso a estos ficheros.



Dices " [b][i]Me sale una pantallita con un cruz roja que dice que no encuentra la ruta. Y en otros programas no encuentra en el fichero "rundll32.exe".[/i][/b] ", y ello puede ser a que tengas interceptadas estas extensiones a base de exigir cargar el malware en cada ocasion, y si no está, no permitir seguir el proceso.



Trata de arrancar en modo seguro a ver si así persiste el problema, y podremos hacer dos cosas, la una, lanzar el HJT y postearnos el log para analizarlo, y la segunda, tratar de ejeuctar el ELIRESTR, todo ello desde modo seguro.



Para lo primero:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos





Para lo segundo:





PARA PROBAR EL ELIRESTR.VBS



http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp





y nos comentas el resultado, gracias



saludos



ms, 5-5-2008

[nothing]

[b]resultado del hijackthis (modo seguro)_[/b]Logfile of HijackThis v1.99.1

Scan saved at 20:38:39, on 05/05/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\PANDAS~2\PANDAI~1\PAVSCRIP.EXE

C:\Documents and Settings\Bergada\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/cabs/ascstubie.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{653B63FF-784B-429C-B1D3-2CFA7B774D01}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe



[b]Hijackthis (modo normal):[/b]Logfile of HijackThis v1.99.1

Scan saved at 20:46:01, on 05/05/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AVENGINE.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\WebProxy.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavBckPT.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Bergada\CONFIG~1\Temp\Rar$EX00.926\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/cabs/ascstubie.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{653B63FF-784B-429C-B1D3-2CFA7B774D01}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe



con ELIRESTR.VBS en principio se ha restablecido el acceso a todos mis programas!!!, supongo que va a ser difinitivo...Veo que en el hickakthis ahún estan los archivos sospechosos :O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Bergada\cftmon.exe

:?: :?: :?:



Muchas gracias;



PD: al reiniciar en modo normal, se ha abierto un mensaje que decía: "se ha encontrado nuevo hardware" :?: :roll:

[msc hotline sat]

Tal como te he dicho hoy no se ha podido monitorizar todo lo llegado:


[quote]ELISTARA



---v16.21-( 5 de Mayo del 2008) (Muestras de (3)Vundo9, (7)Vundo5, (2)DownLoader.ConHook, (4)PWS-OnLineGames.AMVO, BackDoor.CVT "WIN***32.DLL", JuanSearch, FraudLoad.UY "FAS64.DLL", Malware.SearchSet "SEARCHSETTINGS.DLL", DownLoader.Agent.ARE "IMGTASK.EXE", Uzelok.A "SYSTEM32.EXE" y Netvizor "SERVICES.EXE")[/quote]

Pero lo mas importante es que ya puedes ejecutar los ficheros a pesar de haber eliminado el gusano usado en dicha función, el cual era lanzado en cada ejecucion de los interceptados. Gracias al ELIRESTR se han eliminado dichas restricciones, lo cual utilizan algunos virus para protegerse del borrado de sus ficheros, por ello lo ya dicho de siempre analizar antes de borrar, si no se conoce su funcion.



Y los demas sospechosos, si quieres puedes renombrarlos a .VIR, para que no sean lanzados en proximos reinicios. Y mañana los controlaremos, aunque tengan extension .VIR



saludos



ms, 5-05-2008

[nothing]

He probado de renombrar los 2 ficheros sospechosos (pero no los encuentro)



-C:\Documents and Settings\Bergada\cftmon.exe



-C:\WINDOWS\system32\drivers\spools.exe



Lo raro es que aparezcan en el analisis del hihack, ya que actualmente veo que no estan. (almenos en sus ubicaciones originales)



Por cierto la detección de un nuevo hardware (cuando no he modificado nada), es algo normal :?: . Ahora al reiniciar ya no me sale, pero ayer apareció y después me dijo si queria configurar-lo :?: (sin tener ni p.idea de que era...) pinché cancelar y no ha vuelto a aparecer, pero...



Saludos!

[msc hotline sat]

Recuerda que decias "solo he borrado los 2 archivos CFTMON.EXE Y SPOOLS.EXE."



No los busques si los has borrado ...



Y cuando se hayan monitorizado las muestras recibidas, informaremos



saludos



ms, 6-5-2008

[nothing]

ok!

[msc hotline sat]

Terminado el proceso, se ha detectado e implementado en el ELISTARA 16.22 de hoy el control y eliminacion de un nuevo Trojan DELF, 2 nuevos Trojan Small y un nuevo clicker.



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras probarlo, posteanos el resultado contenido en el c:\infosat.txt, gracias



saludos



ms, 6-5-2008