PC Infectado IEXPLORE.EXE y svchost.exe

[marlowej]

Mi PC debe tener un gusano que me carga la CPU y me obliga a reiniciar el PC cada cierto tiempo.

Sino es el PC el que se reinicia por un fallo de escritura.



Anomalias detectadas:

En el administrador de tareas se abren mulitples IEXPLORE.EXE sin que tenga abierto el navegador.

Tambien hay excesivos svchost.exe (ademas de los de servicio de red y sistema, hay unos cuantos que se vuelven a ejecutar si los elimino).



Acciones realizadas:

He probado con varios anitvirus, detectan algunos archivos infectados, que me permite borrar, pero tras reinicio tengo que volver a ejecutarlo porque aparecen de nuevo.

He probado con el CCLEANER, y elimino los registros con extensiones no validas y ejecuto el limpiador pero persiste el problema.

He intentado acceder en modo seguro, pero no me deja.

Mi usuario es administrador del PC, pero cuando intento acceder me deniega el acceso.

¿Tengo que acceder con modo seguro con acceso a redes por estar dentro de un dominio?

O el virus puede denegarme ese acceso.



Estoy un poco perdido y me gustaria que me echaseis un cable.



He ejecutado el HijackThis que habia en otro post de este foro y esta es la salida (por si os ayuda):

Logfile of HijackThis v1.99.1

Scan saved at 19:44:33, on 13/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\mpclient.exe

C:\Archivos de programa\lotus\notes\ntmulti.exe

C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\carpserv.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\SPPopUp.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\ATnotes\ATnotes.exe

C:\Archivos de programa\PuTTY\pageant.exe

C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Documents and Settings\jparra\Escritorio\S\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.31.0.14:6588

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://10.*;http://192.168.200.*;http://172.31.0.*;http://172.30.0.*;http://172.16.32.*;http://172.16.226.*;http://172.16.33.*;http://192.168.74.*;http://192.168.75.*;http://192.168.175.*;http://192.168.194.*;http://172.16.241.*;http://62.87.8.79;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\rxjddnvj.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socksys.dll (file missing)

O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [NOTES] wscript.exe "C:\Temp\655_Notes.vbs"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SpartaCom Client Pop-up] SPPopUp.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - Startup: ATnotes.lnk = C:\Archivos de programa\ATnotes\ATnotes.exe

O4 - Startup: Pageant.lnk = C:\Archivos de programa\PuTTY\pageant.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://intranet

O15 - Trusted IP range: http://212.145.159.195 (HKLM)

O15 - Trusted IP range: http://172.31.0.177 (HKLM)

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = comunitel.loc

O17 - HKLM\Software\..\Telephony: DomainName = comunitel.loc

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = comunitel.loc

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = comunitel.loc

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)

O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll

O23 - Service: CcEvtSvc - Unknown owner - C:\WINDOWS\System32\CcEvtSvc.exe (file missing)

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Microsoft P2P2 Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)

O23 - Service: SpartaCom MPNT Client (MPCLIENT) - SpartaCom S.A. - C:\WINDOWS\system32\mpclient.exe

O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Archivos de programa\lotus\notes\ntmulti.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -service (file missing)



Muchas gracias.



Marlowe

[flacoroo]

comenzaremos por lo mas basico:



bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y despues nos pegas el resultado de C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url]



y nos dices como te fue......si sigues teniendo problemas mandanos un nuevo Log HijackThis

[marlowej]

Hice lo que me indicasteis, parece que habia dado resultado porque al ejecutar el Elistara me detecto y elimino el Downloader.Cutwail y algun malware (4f icheros).



He esperado un par de dias pero nada sigo con el mismo problema.



He vuelto a pasar el antivirus y siguen apareciendo los ficheros que contienen el Captchbar.dll (3 ficheros dentro de la carpeta System Volume Information).



Os envio ahora por mail los ficheros (como indicais en el tema Envio de ficheros) que han salido de ejecutar los programas. El tercero es un DLL y no se como ejecutarlo. Si me decis como lo hago.



Pego un nuevo log del HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 9:38:26, on 17/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\mpclient.exe

C:\Archivos de programa\lotus\notes\ntmulti.exe

C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\carpserv.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\SPPopUp.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\ATnotes\ATnotes.exe

C:\Archivos de programa\PuTTY\pageant.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\AR System\User\aruser.exe

C:\Documents and Settings\jparra\Escritorio\S\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.31.0.14:6588

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://10.*;http://192.168.200.*;http://172.31.0.*;http://172.30.0.*;http://172.16.32.*;http://172.16.226.*;http://172.16.33.*;http://192.168.74.*;http://192.168.75.*;http://192.168.175.*;http://192.168.194.*;http://172.16.241.*;http://62.87.8.79;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\rxjddnvj.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [NOTES] wscript.exe "C:\Temp\655_Notes.vbs"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SpartaCom Client Pop-up] SPPopUp.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - Startup: ATnotes.lnk = C:\Archivos de programa\ATnotes\ATnotes.exe

O4 - Startup: Pageant.lnk = C:\Archivos de programa\PuTTY\pageant.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://intranet

O15 - Trusted IP range: http://212.145.159.195 (HKLM)

O15 - Trusted IP range: http://172.31.0.177 (HKLM)

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = comunitel.loc

O17 - HKLM\Software\..\Telephony: DomainName = comunitel.loc

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = comunitel.loc

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = comunitel.loc

O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll

O23 - Service: CcEvtSvc - Unknown owner - C:\WINDOWS\System32\CcEvtSvc.exe (file missing)

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Microsoft P2P2 Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)

O23 - Service: SpartaCom MPNT Client (MPCLIENT) - SpartaCom S.A. - C:\WINDOWS\system32\mpclient.exe

O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Archivos de programa\lotus\notes\ntmulti.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -service (file missing)



Muchas gracias por vuestra ayuda.



Marlowe

[koga]

El tercero no debe ejecutarlo solo guardarlo en la misma carpeta que elistara, es una dll complemento que usa en algunos casos para virus mas reveldes. Si ya paso elistara y elitriip porfavor posteenos el contenido del archivo C:\infosat.txt como respuesta a este tema para ver los resultados del proceso.

Si ha enviado alguna muestra segun lo indicado, apenas sean resividas y analizadas sera informado.







Saludos.

[marlowej]

FICHERO INFOSAT.TXT





Fri Jun 13 20:59:49 2008

EliStartPage v16.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINCTRL32]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINCTRL32.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINNT64]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINNT64.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\WLCTRL32.DLL.Muestra EliStartPage v16.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WLCTRL32.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WINCTRL32.DLL.Muestra EliStartPage v16.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINCTRL32.DLL --> Renombrado a .VIR

Eliminada Class, "{FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}" -> socksys.dll

Eliminada Carpeta "\Program Files\Accoona"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri Jun 13 21:01:42 2008

EliStartPage v16.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\jparra\Escritorio\IP SUBNET CALCULATOR.EXE --> Eliminado, Spy.Delf (BHO)

C:\Documents and Settings\jparra\Escritorio\Ficheros Joaquin\Escritorio\Conocimientos\Calculadora IP\IP SUBNET CALCULATOR.EXE --> Eliminado, Spy.Delf (BHO)

C:\MSS2\EDAT.DLL --> Eliminado, Malware.ASPI

C:\WINDOWS\system32\WINDATA.CAB --> Eliminado, DownLoader.Cutwail(notify)



Nº Total de Directorios: 4357

Nº Total de Ficheros: 40931

Nº de Ficheros Analizados: 12038

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Tue Jun 17 09:08:39 2008

EliTriIP v4.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\README.TXT --> Eliminado

No detectado SP3 de Windows XP



Tue Jun 17 09:09:11 2008

EliTriIP v4.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4369

Nº Total de Ficheros: 41115

Nº de Ficheros Analizados: 10213

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Muchas gracias.



Marlowe

[koga]

Bueno si ya ha enviado todas las muestras que pedia elistara solo queda esperar a que lleguen y sean analizadas, este atento al foro que se le informara al respecto.

Y claro si hay alguna que no haya enviado hagalo.


[quote="marlowej"]
Fri Jun 13 20:59:49 2008

EliStartPage v16.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINCTRL32]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINCTRL32.DLL

[WinLogon\Notify\WINNT64]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINNT64.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\WLCTRL32.DLL.Muestra EliStartPage v16.49

Por favor, envienos una muestra del fichero

C:\Muestras\WINCTRL32.DLL.Muestra EliStartPage v16.49
[/quote]



Saludos.

[msc hotline sat]

Pues aparte de lo que pida el ELISTARA, del log del HJT cabe señalar:



Enviarnos estos ficheros para analizar:



C:\WINDOWS\system32\mpclient.exe



C:\WINDOWS\system32\SPPopUp.exe



C:\Temp\655_Notes.vbs



C:\WINDOWS\system32\_svchost.exe (no el SVCHOST.EXE del sistema, sino con guión bajo delante, y puede estar oculto... !!! )







y eliminar estas claves:





O15 - Trusted IP range: http://212.145.159.195 (HKLM)



O15 - Trusted IP range: http://172.31.0.177 (HKLM)



O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)



O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)



O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll



O23 - Service: CcEvtSvc - Unknown owner - C:\WINDOWS\System32\CcEvtSvc.exe (file missing)





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 17-06-2008

[msc hotline sat]

Los ficheros enviados son variantes del temible DOWNLOADER CUTWAIL, que pasamos a controlar con el ELISTARA de hoy, si bien requiere añadir en la misma carpeta del ELISTARA el ELINOTIF, y ver que tras reiniciar no se regenere, y si lo hace. eliminarlo de nuevo y bloquear los nombres de los ficheros creando carpeta con el mismo nombre en la ubicacion en cuestion, para impedir que se regeneren



Informenos de sus progresos al respecto, gracias



saludos



ms, 17-06-2008

[marlowej]

Muchas gracias por la rapidez.



Os comento.



De los ficheros que me indicas, el SPPopUp.exe (es una aplicacion de una bateria de modem).

El 655_Notes.vbs es un script que instale para ver el correo del Lotus Notes en el Outlok.



Te envio el otro por mail, como indicais en el envio de muestras:

C:\WINDOWS\system32\mpclient.exe



En esa carpeta solo encuentro el svchost.exe sin el guion, ya he verificado que veo los archivos ocultos, he desactivado y vuelto a activar esta propiedad por si acaso y nada.

C:\WINDOWS\system32\_svchost.exe (no el SVCHOST.EXE del sistema, sino con guión bajo delante, y puede estar oculto... !!! )



Intentare eliminas las claves que me indicas y os digo como queda.



Gracias de nuevo.



Marlowe

[marlowej]

Respecto a la segunda respuesta:

"Los ficheros enviados son variantes del temible DOWNLOADER CUTWAIL, que pasamos a controlar con el ELISTARA de hoy, si bien requiere añadir en la misma carpeta del ELISTARA el ELINOTIF, y ver que tras reiniciar no se regenere, y si lo hace. eliminarlo de nuevo y bloquear los nombres de los ficheros creando carpeta con el mismo nombre en la ubicacion en cuestion, para impedir que se regeneren"



De los ficheros que debo eliminar:

WINCTRL32.DLL

WLCTRL32.DLL

WINCTRL32.DLL

WINNT64.DLL



Solo he encontrado el siguiente, de estas dos formas

WINNT64.DLL

WINNT64.DL_

Y el renombrado: WINCTRL32.DLL.VIR --> Este lo he borrado

Pero no se cual de los otros dos borrar.



Agradeceria me indicaseis si borro los dos o solo uno de ellos.



Gracias.



Marlowe

[lucl]

Pero no te olvides descargar primero elistara y elinotif y ejecutarlos en tu pc, nos pegas el log de infosat saludos

[msc hotline sat]

Y si tras probar el último ELISTARA con el ELINOTIF, tras reiniciar te indica en algun fichero ACCESO DENEGADO o se regenera tras eliminarlo, renombralo a .VIR y crea en su lugar una carpeta con su nombre, para bloquear su entrada.



saludos



ms, 18-06-2008

[msc hotline sat]

Se han recibido muestras que no contienen rutinas viricas.



Indiquenos si persiste actualmente alguna anomalía o podemos dar por ya solucionado el Tema, gracias



saludos



ms, 19-06-2008

[marlowej]

De momento me sigue dando problemas.

Ahora paso el Elistara con el EliNotif en la misma carpeta y la salida del InfoSat.log es:

Thu Jun 19 13:28:56 2008

EliStartPage v16.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINNT64]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINNT64.DLL

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jun 19 13:29:23 2008

EliStartPage v16.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4374

Nº Total de Ficheros: 41347

Nº de Ficheros Analizados: 12058

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Con lo que supongo que tengo que eliminar el fichero WINNT64.DLL ya que es el me dijisteis que era una copia del Downloader.Cutwail (los otros ya no salen).



Pero necesito que me digais si elimino estos dos:

WINNT64.DLL

WINNT64.DL_



O solo uno de ellos.



Luego tengo que iniciar en modo seguro (el otro dia no me dejaba) y eliminar los registros que me indicabais del HijackThis.



¿es correcto el orden?

No se si me estoy liando.



Muchas gracias.



Marlowe

[msc hotline sat]

Hoy dia 19 estás utilizando un ELISTARA 16.49, cuando estamos haciendo la 16.54...


[quote]Thu Jun 19 13:28:56 2008

EliStartPage v16.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINNT64]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINNT64.DLL[/quote]

Debes probar siempre la ultima version disponible !



saludos



ms, 1906-2008

[marlowej]

Me baje el fichero del Link que me pusieron al ppio de este post.

¿Donde me puedo bajar las actualizadas?



Gracias.



Marlowe

[msc hotline sat]

Cada día el mismo link le bajará las actualizadas del día, pero claro, no debe usar las bajadas hace días...



saludos



ms, 19-06-2008

[marlowej]

OK. Me bajo el Elistara actualizado y lo paso a ver si de una vez me desaparece el problema.



Ahora incluso se me reinicia el ordenador de vez en cuando (pantallazo azul del Windows).



Os mantengo informados de los resultados de hacer los pasos de nuevo con el Elistara Actualizado.



Os agradezco mucho la ayuda.



Marlowe

[msc hotline sat]

Los pantallazos pueden no ser debidos al malware... Si tras eliminarlo, persisten, revise las memorias.



saludos



ms, 30-06-2008

[marlowej]

Me baje el Elistara actualizado, y segui los pasos indicados detenidamente.

Es decir,

1. Pasarlo.

2. Reinciar.

3. Volver a ejecutarlo al iniciarse el PC.



Y desde entonces parece que ya no abre el IEXPLORE.EXE



A ver si ya consegui eliminar el Downloader Cutwail y todas sus puñeteras copias que andaban pululando por ahi.



Muchas gracias a todos por vuestra ayuda y vuestras rapidas respuestas.



Marlowe



PD: No se como cerrar este hilo, una vez parece que se ha resuelto el problema.

[msc hotline sat]

No se preocupe, ya lo cerramos nosotros si lo considera solucionado



Y si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 8-07-2008