scvhost.exe-Backdoor.Win32.DsBot.ox

[chamay]

Hola a todos, os cuento el problema:



Mi pc con win xp home ed. se ha infectado a través de un pen drive con un virus troyano que que no detectó inicialmente nod32 2.7. Despues de utilizar este pen drive en mi ordenador empezaron el nod32 empezo a detectar intentos de conexión y descarga de archivos que detectaba como virus:



modulo IMON

object file

name http://72.10.166.197/mywebres/~image/gm.gif

win32/statik application

Nt authority\system





http://wever.biz/planet.exe

probably a variant of win32/statik





file: windows/hosts

windows/system32/drivers/etc/hosts

win32/Qhost trojan



El firewall de windows esta inactivado como consecuencia del virus asi que es obvio que hay un problema. El escaneo completo del pc por nod32 no detecta ningún virus pero el escaneo completo con adaware 2007 detecto 1 objeto critico



Family Id 1720

Name Win32.Backdoor.DsBot

Category Malware

TAI 10

[153537] File: c:\windows\system32\scvhost.exe

[153537] Process Hash: c:\windows\system32\scvhost.exe

[153537] File: C:\back.exe

[153537] File: C:\Documents and Settings\nuevo\Configuración local\Archivos

temporales de Internet\Content.IE5\BOCVSBSB\thein[1].exe

[153537] File: C:\System Volume Information\_restore{F546ED53-16F9-458B-

89DB-439E69EB1E89}\RP275\A0195884.exe



El adaware intentó eliminar los archivos tras reiniciar pero no fue posible asi que seguí los 11 pasos para la eliminacion http://www.forospyware.com/t8.html.



Tras desactivar restaurar sistema e iniciar en modo a prueba de fallos, el spybot detecto entre otros



Agobot.Backdoor: [SBI $6465B474] Ejecutable (Archivo, fixed)

C:\WINDOWS\system32\scvhost.exe



Win32.SdBot.aad: [SBI $B496B852] Configuración (Valor del registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\jda30



ademas de:



Microsoft.Windows.Security.InternetExplorer: [SBI $A3433CBF] Configuración (Cambio en el registro, fixed)

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_ LOCKDOWN\iexplore.exe



Microsoft.Windows.Security.InternetExplorer: [SBI $A3433CBF] Configuración (Cambio en el registro, fixed)

HKEY_USERS\S-1-5-21-3032255494-311035941-3858273340-1007\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_ LOCKDOWN\iexplore.exe



Microsoft.Windows.Security.InternetExplorer: [SBI $A3433CBF] Configuración (Cambio en el registro, fixed)

HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_ LOCKDOWN\iexplore.exe



Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Configuración (Cambio en el registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride



Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Configuración (Cambio en el registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride



Microsoft.WindowsSecurityCenter.SP2Update: [SBI $D7D77116] Configuración (Cambio en el registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\DoNotAllowXPSP2



Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Configuración (Cambio en el registro, fixed)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wscsvc\Start



Tras darle a limpiar todo y haberlo conseguido con exito pase el superantispyware que elimino principalemente cookies. Despues active el spywareblaste y con CCcleaner elimine todos los archivos temporales y problemas de registro encontrados. A continuación comprobe que los archivos detectados por adaware habian sido eliminados: C:/windows/system32/scvhost.exe y C:\back.exe.



En este momento, aun en modo a prueba de fallos el servicio



O23 - Service: Windows Action Script - Unknown owner - C:\WINDOWS\system32\scvhost.exe



estaba parado y lo deshabilite. También borre las entradas del registro que contenian la información de este servicio listadas en HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w indows action script

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\w indows action script



Reinicié en modo normal y el nod32 vuelve a detectar intentos de conexion, el spybot detecta el proceso C:\WINDOWS\system32\scvhost.exe como malware y se ha activado el servicio windows action script de nuevo y creado el archivo C:\WINDOWS\system32\scvhost.exe.



Supongo que hay algún lanzador del virus que no detecta ninguno de los programas que regenera el virus tras iniciar windows. Estoy un poco desesperado pq necesito usar el ordenador urgentemente para trabajar y ademas de no poder eliminar el troyano no se exactamente el alcance que tiene. No encuentro información que claramente concuerde con lo que me pasa.



El log de hijackthis



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:41:24, on 05/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\cisvc.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe



C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\system32\scvhost.exe



C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Toshiba\Windows Utilities\Hotkey.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe

C:\WINDOWS\system32\igfxext.exe

C:\Archivos de programa\Logitech\QuickCam\Quickcam.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Logishrd\LQCVFX\COCIManager.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = hermes.upo.es:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Barra de herramientas de MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\ARCHIV~1\IDM\QUICKF~1\PlugIns\IEHelp.dll

O3 - Toolbar: Barra de herramientas de MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Archivos de programa\Toshiba\Windows Utilities\Hotkey.exe" /lang ES

O4 - HKLM\..\Run: [SmoothView] C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe "

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &MSN Search - res://C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0000.1105\es-es\msntabres.dll/229?3fa9e657cd2948a09e2521eb4eeda55e

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0000.1105\es-es\msntabres.dll/230?3fa9e657cd2948a09e2521eb4eeda55e

O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Archivos de programa\Invitrogen\Vector NTI Advance 9\Ncbi.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe



O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe



O23 - Service: Windows Action Script - Unknown owner - C:\WINDOWS\system32\scvhost.exe





El kaspersky online scanner detecta los siguientes archivos infectados:





C:\backup.exe Infected: Backdoor.Win32.DsBot.ox skipped

C:\bs.exe Infected: Trojan.Win32.Qhost.apd skipped

C:\WINDOWS\system32\scvhost.exe Infected: Backdoor.Win32.DsBot.ox skipped

C:\Archivos de programa\ESET\cache\FND0.NFI Infected: Trojan-Downloader.Win32.Small.wrx skipped

C:\Documents and Settings\nuevo\Configuración local\Temp\IH594.tmp Infected: Trojan.Win32.Qhost.aou skipped

C:\Documents and Settings\nuevo\Configuración local\Archivos temporales de Internet\Content.IE5\X26DGBE5\backupme[1].exe Infected: Backdoor.Win32.DsBot.ox skipped



Despues de arreglar la entrada the hijack this



O23 - Service: Windows Action Script - Unknown owner - C:\WINDOWS\system32\scvhost.exe



y reiniciar, el proceso scvhost esta desahabilitado. He borrado todos los archivos infectados pero tras reiniciar vuelven a crearse



C:\WINDOWS\system32\scvhost.exe

C:\backup.exe



y otro archivo infectado en C:\ que cambia de nombre, ahora se llama bg.exe



Ahora el proceso scvhost.exe no esta activo y el servicio aparece como deshabilitado en el gestor de servicios. Sin embargo, no soy capaz de eliminar el archivo/registro que replica al virus cada vez que inicio windows.





Espero que alguien sepa como acabar con esto.



muchas gracias.

[lucl]

Pues esta claro que lo tienes aun



C:\WINDOWS\system32\scvhost.exe







pasate este antitrojano que ya controla algunos scvhost por si acaso, igual es una nueva variante y debes enviarnosla para su control y eliminacion. Ademas complementa con elitriip por si acaso y nos pegas el log que te dejara en C infosat.txt



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



para enviarnos las muestras debes seguir las indicaciones del siguiente link



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ademas seria bueno que renombraras los archivos viricos a .VIR para que no te den la lata hasta que podamos controlarlos, nos comentas avances, saludos

[flacoroo]

Aparte de lo que te dice Lucl ....comprime esos archivos con la contraseña virus y nos lo mandas a zonavirus@satinfo.es los siguientes archivos y despues de que los mandes le cambias a esos archivos su extension de .exe a .vir para que queden desactivados.....



C:\WINDOWS\system32\scvhost.exe

C:\backup.exe



y otro archivo infectado en C:\ que cambia de nombre, ahora se llama bg.exe

[chamay]

Hola,



Muchas gracias por el esfuerzo. El ordenador infectado no es mio y no lo tengo ahora mismo a mano....es de mi novia, además esta utilizando el ordenador para trabajar y no le viene muy bien el riesgo de andar toqueteando sin demasiada experiencia... Pero probaremos vuestras sugerencias en cuanto podamos..probablemente la semana que viene...y escribiré de vuelta...



gracias de nuevo

[msc hotline sat]

Analizados los ficheros recibidos se detecta SDBOT ya controlados por el actual ELITRIIP



El resto son de carpetas de cuarentena, que pueden eliminarse, igual que tres .EXE corruptos no operativos.


[quote]
[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

saludos



ms, 19-06-2008

[chamay]

[b]Hola, :lol: :lol: :lol:



Muchas gracias por el análisis. Despues de renombrar los archivos, borrarlos y pasarle ELITRIP y spybot ya esta limpio e incluso el firewall se ha activado. También he borrado las referencias al servicio windows file script en el registro. El adaware y el nod32 tampoco detectan nada. El proceso scvhost ya no esta corriendo y el servicio de windows file scripting ha desaparecido del gestor de servicios. Asi que creo que ya esta solucionado.



Muchas gracias por vuestra ayuda.

[/b]



[b]El spybot arreglo:[/b]



--- Search result list ---

Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Configuración (Cambio en el registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride



Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Configuración (Cambio en el registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride



Win32.SdBot.aad: [SBI $B496B852] Configuración (Valor del registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\jda30





[b]El log de elitrip[/b]



Wed Jun 18 18:32:02 2008

EliTriIP v4.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5563

Nº Total de Ficheros: 61014

Nº de Ficheros Analizados: 13911

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[b]

El log de karpersky solo detecta el renombrado de la cuarentena del NOD32 que ya he borrado:[/b]



KASPERSKY ONLINE SCANNER INFORME

miércoles, 18 de junio de 2008 21:48:16

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.98.0

Ultima actualización: 18/06/2008

Registros en la base antivirus: 878919

Configuración del análisis

Analizar usando las siguientes bases estendidas

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

C:\

D:\

E:\

Estadísticas

Número de objeros analizados 71693

Virus encontrados 1

Objetos infectados 1

Objetos sospechosos 0

Duración del análisis 01:48:07



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\ESET\cache\FND0.NFI.virus Infectados: Trojan-Downloader.Win32.Small.wrx saltado

[msc hotline sat]

creo que lo que detecta el Kaspersky es un driver de NOD32, un falso positivo de los que todos tenemos:



C:\Archivos de programa\ESET\cache\FND0.NFI.virus



Si quieres salir de dudas, sube este fichero al virustotal: https://www.virustotal.com/es/



y nos posteas el resultado, gracias



saludos



ms, 27-06-2008





NOTA: y no creo que este fuera de la cuarentena de NOD32, estos son encriptados con XOR A5 y renombradoa a .NQF, y no los pone en la carpeta CACHE sino en INFECTED ...

[chamay]

[b]En el ordenador infectado lo he borrado y no parece afectar en absoluto al funcionamiento del antivirus. Ahi va el log de virus total:[/b]



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.6.27.1 2008.06.27 -

AntiVir 7.8.0.59 2008.06.27 TR/Crypt.ULPM.Gen

Authentium 5.1.0.4 2008.06.27 W32/Heuristic-MUP!Eldorado

Avast 4.8.1195.0 2008.06.27 -

AVG 7.5.0.516 2008.06.27 -

BitDefender 7.2 2008.06.27 Packer.Malware.LDPinch.A

CAT-QuickHeal 9.50 2008.06.26 -

ClamAV 0.93.1 2008.06.27 -

DrWeb 4.44.0.09170 2008.06.27 Trojan.DownLoader.63549

eSafe 7.0.17.0 2008.06.26 -

eTrust-Vet 31.6.5911 2008.06.27 -

Ewido 4.0 2008.06.27 -

F-Prot 4.4.4.56 2008.06.27 W32/Heuristic-MUP!Eldorado

F-Secure 7.60.13501.0 2008.06.26 Trojan-Downloader.Win32.Small.wrx

Fortinet 3.14.0.0 2008.06.27 -

GData 2.0.7306.1023 2008.06.27 Trojan-Downloader.Win32.Small.wrx

Ikarus T3.1.1.26.0 2008.06.27 -

Kaspersky 7.0.0.125 2008.06.27 Trojan-Downloader.Win32.Small.wrx

McAfee 5327 2008.06.27 -

Microsoft 1.3704 2008.06.27 -

NOD32v2 3224 2008.06.27 -

Norman 5.80.02 2008.06.26 -

Panda 9.0.0.4 2008.06.26 W32/Xor-encoded.A

Prevx1 V2 2008.06.27 -

Rising 20.50.42.00 2008.06.27 -

Sophos 4.30.0 2008.06.27 Mal/HckPk-A

Sunbelt 3.0.1176.1 2008.06.26 -

Symantec 10 2008.06.27 -

TheHacker 6.2.96.362 2008.06.27 -

TrendMicro 8.700.0.1004 2008.06.27 -

VBA32 3.12.6.8 2008.06.27 Trojan-Downloader.Win32.Small.wrx

VirusBuster 4.5.11.0 2008.06.23 -

Webwasher-Gateway 6.6.2 2008.06.27 -

Información adicional

Tamano archivo: 21018 bytes

MD5...: d09ae559a2fc2b0562f3862465dd79d7

SHA1..: 2361f45562797a0c2171f86ff93a3dcbb8945a5c

SHA256: 0cf13dc90ccfd4f794678cc00eacd79e746f5ce9044d31d53a21ba38e9e9af83

SHA512: 9026e88803b6c8e3fb3fc1a88999541e109368c97b27b941d1f4817517528c8d

643f20b931c247d87e7d504f041b23fa09384eded7a629a0e44ae543f6ce54e3

PEiD..: -

PEInfo: -

packers (Kaspersky): PE-Crypt.XorPE

packers (F-Prot): XORCrypt, Crypol

packers (Authentium): XORCrypt, Crypol



saludos

[msc hotline sat]

Pues que mas de 10 antivirus lo consideren malware... eso ya pasa de falso positivo !



Y hay mas de 500 links que hablan de ello: http://www.google.es/search?hl=es&rls=GGLJ%2CGGLJ%3A2006-43%2CGGLJ%3Aes&q=FND0.NFI&meta=



Así que si lo has eliminado y no pasa nada, lo dejamos así y si tienes algun problema nos lo comentas



saludos



ms, 27-06-2008