nuevo virus (SOLUCIONADO)

[palomo]

he encontrado en varias pendrives este nuevo virus.

se llama crsscr

y el script pxlainx. trae un dll llamdo msvcr71

an antiknight no se si sea parte del virus pero se los mando

lo logre encontrar y lo zipie y le puse la contarseña indicada

espero ayuden a erradicarlo ya que por estas latitudes se esta generalizando como siempre de antemano mil gracias y cvuidense

[msc hotline sat]

Posiblemente se trate de nueva variante del Disk Knight, que se propaga por USB.



Cuanbdo recibamos las muestras, las analizaremos y informaremos. Mientras puedes vacunar tu ordenadores y pendrives con el ELIPEN:


[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y complementar las muestras con la informacion que genere el SPROCES:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT



lo analizaremos e informaremos al respecto.



saludos



ms, 16-07-2008

[palomo]

el virus lo logre atrapar un pendrive el elipen no se puede ejecutar o en su defecto no lo encuentra o no lo neutraliza.

he intentado enviarselos pero me lo regreso hotmail talvfez puse mal la ditreccion.

lo intentare nuevamente

[msc hotline sat]

Recuerda que has de enviarlo empaquetado con password VIRUS, para que no puedan interceptarlo los servidores de Internet:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y lo que dices del ELIPEN, solo vacuna dejando inutilizado el AUTORUN.INF o bloqueando la entrada de dicho fichero, que es el lanzador, pero los ficheros viricos propiamente dichos siguen en el prndrive o en el ordenador.



Mientras recibimos las muestras, posteanos el contenido del SPROCLOG.TXT resultante del SPROCES, como hemos dicho en el anterior post, gracias



saludos



ms, 16-07-2008

[palomo]

aqui esta el ficehro de process

y la muestra ya los envie por el nuevo conducto

saludos y estamos pendientes



Tue Jul 15 23:18:50 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIV~1\AVG\AVG8\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\IVT CORPORATION\BLUESOLEIL\BTNTSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\EBOOSTR\EBSTRSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\AVG\AVG8\AVGRSX.EXE

C:\ARCHIV~1\AVG\AVG8\AVGTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_05\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_FATI9AL.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\DISTILLR\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\1.2.1128.5462\GOOGLETOOLBARNOTIFIER.EXE

C:\WINDOWS\SYSTEM32\CRSSCR.EXE

C:\ARCHIVOS DE PROGRAMA\IVT CORPORATION\BLUESOLEIL\BLUESOLEIL.EXE

C:\ARCHIV~1\AVG\AVG8\AVGEMC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMP.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\ACROBAT\ACROBAT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ADOBE SYSTEMS SHARED\SERVICE\ADOBELMSVC.EXE

C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\PALHOMO\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WWW.YAHOO.COM.MX

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: (no name) - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Archivos de programa\PicLensIE\PicLens.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [crsscr] C:\WINDOWS\system32\crsscr.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=040908 serial=dr12crs-1736730-ynq lang=ES

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [\\ESTACION1\EPSON Stylus CX4500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9AL.EXE /P38 "\\ESTACION1\EPSON Stylus CX4500 Series" /O6 "USB003" /M "Stylus CX4500"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: []

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk

O4 - Global Startup: Adobe Gamma.lnk

O4 - Global Startup: BlueSoleil.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: eBoostr Control Panel.lnk

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Launch PicLens - {3437D640-C91A-458f-89F5-B9095EA4C28B} - C:\Archivos de programa\PicLensIE\PicLens.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab Class) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: AVG8 Network Redirector (AvgTdiX) - AVG Technologies CZ, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdix.sys

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: eBoostr Service (EBOOSTRSVC) - Unknown owner - C:\Archivos de programa\eBoostr\EBstrSvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Bluetooth Audio Service (BlueletAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys

O23 - Service: Bluetooth SCO Audio Service (BlueletSCOAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\BlueletSCOAudio.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys

O23 - Service: Bluetooth HID Enumerator (BTHidEnum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vbtenum.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Sony Ericsson 750 driver (WDM) (k750bus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\k750bus.sys

O23 - Service: Sony Ericsson 750 USB WMC Modem Filter (k750mdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\k750mdfl.sys

O23 - Service: Sony Ericsson 750 USB WMC Modem Drivers (k750mdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\k750mdm.sys

O23 - Service: Sony Ericsson 750 USB WMC Device Management Drivers (k750mgmt) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\k750mgmt.sys

O23 - Service: Sony Ericsson 750 USB WMC OBEX Interface Drivers (k750obex) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\k750obex.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: Virtual Serial port driver (VComm) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys

O23 - Service: VIA AC'97 Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\viaudio.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



41 Servicios.

12 de Carga Automatica.

28 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Sí, aun tienes activo este :



C:\WINDOWS\SYSTEM32\CRSSCR.EXE





renombra la extension de dicho fichero a .VIR y tras reiniciar ya no se activará de nuevo











y elimina estas dos claves:





O4 - HKCU\..\Run: [crsscr] C:\WINDOWS\system32\crsscr.exe



O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1





saludos



ms, 16-07-2008







NOTA: Y este E_FATI9AL.EXE que tienes residente, puede ser un driver de EPSON o no..., subelo al VIRUSTOTAL e informanos del resultado, gracias https://www.virustotal.com/es/

[msc hotline sat]

Recibidas las muestras, en un analisis previo a la monitorizacion (que no sé si se podrá hacer hoy por la cantidad que tiene delante), se detecta nueva variante de virus de pendrive que lanza los ficheros crsscr.exe y pxlainx.vbs, los cuales conviene buscar en todo el disco duro y pendrives y renombrar su extension a .VIR (en ambos), si bien con el AUTORUN.INF renombrado a .OLD ya no son lanzados automaticamente, pero podrían serlo manualmente, o en cada reinicio, como pasaba con la clave que lo lanzaba en el inicio, y que le hemos dicho en el post anterior que eliminara.



Con lo indicado aparcaremos el problema, y en cuanto los monitoricemos, se implementará su control y eliminacion en nuestras utilidades, de lo cual informeramos



saludos



ms, 16-07-2008

[msc hotline sat]

Hemos visto que el AUTORUN.INF lanza el VBS que copia el CRSSCR.EXE en la carpeta de sistema. y lo ejecuta.



Sin tiempo en pormenorizar, implementamos en el ELISTARA de hoy 16.72 el control y eliminacion de dichos ficheros, por lo que esta tarde descarga dicha version, pruebala y nos informas del resultado, gracias:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 16-07-2008

[palomo]

perdon por la tardanza..

he aqui el resultado



Wed Jul 16 02:03:14 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CRSSCR.EXE --> Eliminado, Malware.CRSSCR



Nº Total de Directorios: 6038

Nº Total de Ficheros: 66206

Nº de Ficheros Analizados: 16106

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Jul 16 02:55:16 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Jul 16 02:55:51 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 107

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jul 16 02:55:54 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 107

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jul 16 02:55:55 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 107

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jul 16 15:32:37 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Jul 16 15:32:49 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 6

Nº Total de Ficheros: 229

Nº de Ficheros Analizados: 6

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jul 16 15:33:07 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad H:\ Protegida



creo que ha quedado libre de este bicho..

una pregunta. el archivo .old que crea el elipen debe de conseravse en la pendrive??

y con esto creo que queda solucionado este problema lo que vuevo a agradecer enormemente

mil gracias y estamos en contacto..

[lucl]

A que archivo te refieres? Saludos

[msc hotline sat]

Entiendo que se refiere al indicado en su último post:



[b][i]"una pregunta. el archivo .old que crea el elipen debe de conseravse en la pendrive??"[/i][/b]



Sí, una vez analizado su contenido, como ha sido el caso, y gracias a ello determinado el virus que lanzaba, y cuando ya se dá por solucionado el Tema, como en este caso, el AUTORUN.INF.OLD ya puede borrarse.



Y alegrandonos de que el Tema se haya solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 19-07-2008