Vírus VMalum.DNYE - SillyDI.EPI - Almanahe.F!x386

[BRASIL]

Estamos com um problema aqui na empresa e espero que alguém possa-nos ajudar.
Há em nossa corporação alguns vírus e não conseguimos suporte e nem um programa de anti-virus que tire os vírus da rede.
Já fizemos muitos testes em nossa rede e mesmo quando formato um computador, ao colocá-lo novamente em nossa LAN ele pega novamente as pragas.
Ultimamente, os anti-vírus conseguem fazer algum procedimento de barrar que outros computadores sejam infectados, porém os computadores que já estão com este tipo de vírus não conseguimos tirá-lo.
Fiz alguns bloqueios em nosso Firewall e me parece que ele se atualiza através de algum host.
As pragas encontradas em nossa rede são:

- Win32/VMalum.DNYE
- Win32/SillyDI.EPI
- Win32/Almanahe.F!x386

Apesar de que o meu produto eTrust diz estar removendo o vírus, os vírus continuam aparecendo mesmo ele informando que foi removido.
Já tentamos diversas soluções, o Trend, o eTrust, o Norton Corporate Edition, Avast, AVG.

Fico no aguardo de uma ajuda.
Muito obrigado.

Tenemos un problema aquí en la empresa y espero que alguien nos pueda ayudar.
Hay en nuestra corporación algunos virus y no conseguimos soporte y ni un programa de antivirus que quite los virus de la red.
Ya hicimos muchas pruebas en nuestra red y aún cuando formateamos un ordenador, al colocarlo nuevamente en nuestra LAN él coge nuevamente las plagas.
Últimamente, los anti-virus consiguen hacer algún procedimiento de prohibir que otros ordenadores sean infectados, sin embargo los ordenadores que ya andan con este tipo de virus no conseguimos quitarlo.
Hice algunos bloqueos en nuestro Firewall y me parece que él se actualiza a través de algún host.
Las plagas encontradas en nuestra red son:

- Win32/VMalum.DNYE
- Win32/SillyDI.EPI
- Win32/Almanahe.F!x386.

A pesar de que mi antivirus e-Trust dice haber eliminando el virus, los virus continúan apareciendo él informando que van siendo eliminados.
Ya intentamos diversas soluciones, el Trend, el e-Trust, Norton Corporate Edition, Avast, AVG.

Me quedo a la espera de una ayuda.
Muchas gracias.

[msc hotline sat]

Amigos de Brasil, me consta que tienen un buen surtido de virus, troyanos y malwares en general !

Paso a analizar sus problemas, empezando por el primero, el de la familia VMALUM, que son IRCBOTS, o backdoors de IRC y que nosotros identificamos como SDBOT, pueden probar el ELITRIIP.EXE , que es la utilidad con la que los controlamos, a ver si lo detecta o pide muestra para que nos envien fichero para analizar y pasar a controlarlo con la proxima version (Cada dia implementamos control de nuevas muestras)

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

sigo con el proximo:

La gama del SillyDI son troyanos que pueden propagarse por pendrive, asi que de entrada vacunen sus ordenadores y pendrives con ELIPEN, y veremos si en el infosat.txt resultante aparecen indicativos de AUTORUN.INF lanzando malwares:

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y vamos por el tercero:

Sobre la familia de virus ALMANAHE se trata de virus infector, polimorfico y a veces protegido por RootKit. Para su control y desinfeccion, arrancar en modo seguro, desactivar la restauracion de sistema y lanzar el antivirus con el que se detecte, que debería poder desinfectar los ficheros infectados.

Pero una vez vistos genéricamente, veamos de conseguir muestras de todos y cada uno para poder analizarlos y obrar en consecuencia:

Arrancar en modo seguro con funciones de red y lanzar este AV ONLINE y postearnos el informe resultante, veremos los causantes y les indicaremos los ficheros que deben enviarnos para analizar:

SOLO TESTEO AV ONLINE

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.


(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

(y a lo mejor encontramos mas de los que saben o piensan que tienen... )

Cuando nos hayan enviado el informe, las muestras que les indiquemos deben enviarnoslas segun establecido en:

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

Espero que a pesar de la lógica dificultad en el cambio de idioma, nos entiendan y podamos serles de utilidad

saludos
ms, 31-07-2008

[msc hotline sat]

Y paralelamente al informe del antivirus, prueben nuestra utilidad SPROCES y hagan un copiar y pegar del fichero resultante c:\sproclog.txt :

SPROCES.EXE (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT

lo analizaremos e informaremos al respecto.

saludos
ms, 31-07-2008

[BRASIL]

SBom dia.

Não consigo enviar o log por este forum, pois o log não cabe aqui.

Teria algum email ao qual eu posso encaminhar o arquivo de log em anexo?

obrigado

[msc hotline sat]

Es posible que alguna utilidad como el Spybot haya modificado el HOSTS incrementandole cientos de lineas, ya ha pasado a algunos usuarios.

En tal caso anexe el fichero del log, edite un post de respuesta a este Tema, indique que anexa el log porque no le cabe y luego en la parte inferior verá "Subir Adjunto", y es cuestión de navegar hasta encontrar el fichero "Examinar", seleccionarlo y pulsar en "Agregar Archivo", y luego ya "Enviar"

Nosotros lo abriremos,y ya lo postearemos eliminando las lineas indicadas, 127.0.0.1 ..., no se preocupe, dejelo en nuestras manos.

Y a la vista de su contenido, obraremos en consecuencia

saludos
ms, 4 de Agosto de 2008

[BRASIL]

Segue arquivo em anexo.

[msc hotline sat]

Bien, pues dejando el primero y el ultimo de los 127.0.0.1, quedan:

Mon Aug 04 10:04:55 2008
SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600)
Internet Explorer: (v6.0.2600.0000)

Procesos Activos:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\VIRUS\ELITRIIP.%D8I%D8HB%D8%D8H.EXE
C:\VIRUS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://7255.com/?g
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://br.rd.yahoo.com/customize/ycomp/defaults/sp/*http://br.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\sichost.exe
O1 - Hosts: 127.0.0.1            localhost
O1 - Hosts: 202.165.102.205      972.aksjd11.com
O1 - Hosts: 202.165.102.205      w3og.cn
O1 - Hosts: 203.208.35.100       qazc.fourtw.cn
O1 - Hosts: 203.208.35.100       www.aujoy.cn
O1 - Hosts: 203.208.35.101       www.hao601.cn
O1 - Hosts: 203.208.35.101       www.psp476.cn
O1 - Hosts: 72.14.235.99         222.1212l112.net
O1 - Hosts: 72.14.235.99         444.1212l112.netn
O1 - Hosts: 72.14.235.99         555.1212l112.net
O1 - Hosts: 72.14.235.99         111.1212l112.net
O1 - Hosts: 65.55.21.250         111.3243l24.com
O1 - Hosts: 65.55.21.250         222.3243l24.com
O1 - Hosts: 65.55.21.250         333.3243l24.com
O1 - Hosts: 125.64.8.112         kao2.gmwo03.com
O1 - Hosts: 125.64.8.112         kao.gmwo06.com
O1 - Hosts: 125.64.8.112         444.gmwo07.com
O1 - Hosts: 116.252.185.15       ru.update365.us
O1 - Hosts: 116.252.185.15       ad.update365.us
O1 - Hosts: 207.46.232.182       popmails.net
O1 - Hosts: 203.208.37.99        3.goodhh.com
O1 - Hosts: 220.181.37.55        down.rwixr.com
O1 - Hosts: 160.79.42.52         www.xdj2008.com
O1 - Hosts: 63.175.76.152        www.revtr.cn
O1 - Hosts: 219.133.40.91        qq.ljsll.com
O1 - Hosts: 203.208.35.102       www.aassccwe.cn
O1 - Hosts: 209.132.177.50       973.aksjd11.com
O1 - Hosts: 209.132.177.50       974.aksjd11.com
O1 - Hosts: 209.132.177.50       971.aksjd11.com
O1 - Hosts: 209.132.177.50       975.aksjd11.com
O1 - Hosts: 72.14.235.104        user1.12-39.net
O1 - Hosts: 72.14.235.147        www.infomt.net
O1 - Hosts: 192.150.18.101       ata1.sysions.net
O1 - Hosts: 192.150.18.101       ata2.sysions.net
O1 - Hosts: 192.150.18.101       ata3.sysions.net
O1 - Hosts: 192.150.18.101       ata4.sysions.net
O1 - Hosts: 193.120.42.226       8nnnnn99.cn
O1 - Hosts: 24.39.54.34          www.haoaoao.cn
O1 - Hosts: 127.0.0.1            971.lkjdasa12.com
O1 - Hosts: 127.0.0.1 k87kjujg.cnO2 - BHO: CAdLogic Object - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Arquivos de programas\Arquivos comuns\CPUSH\cpush.dll (file missing)
O2 - BHO: (no name) - {18093456-9012-4568-9076-908765467181} - (no file)
O2 - BHO: (no name) - {4A698102-5904-AFD0-20DF-CD1A65829CA4} - C:\WINDOWS\System32\zycbdime.dll (file missing)
O2 - BHO: (no name) - {55694105-5108-9405-3695-954187462155} - C:\WINDOWS\System32\mpwdeapi.dll
O2 - BHO: IncePrivate Class - {686488AF-13D5-9DDF-4FEF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\SgwZeghvvV.dll
O2 - BHO: (no name) - {6C648541-1025-9650-9057-6541258720C6} - C:\WINDOWS\System32\mndhfdwd.dll (file missing)
O2 - BHO: (no name) - {7A041F13-A111-12A3-B0CF-F99818AA68A7} - C:\WINDOWS\System32\zxmsdwin.dll (file missing)
O2 - BHO: (no name) - {87FD640A-158F-48AC-FD14-1597F14A9778} - C:\WINDOWS\System32\mndshsrv.dll (file missing)
O2 - BHO: ThunderHlpObj Class - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O2 - BHO: IncePrivate Class - {986488AF-13D5-9DDF-4FEF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2134.dll (file missing)
O2 - BHO: (no name) - {AA59145F-315D-BC23-AC1F-145DF81A34AA} - C:\WINDOWS\System32\zyzxjime.dll (file missing)
O2 - BHO: (no name) - {B629FF4F-ACDB-5C90-A098-FACB3456A26B} - (no file)
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Arquivos de programas\CA\eTrustITM\realmon.exe" -s
O4 - HKLM\..\Run: [winlog] C:\WINDOWS\Fonts\winlog.exe
O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\RunOnce: [vuyhnwk61] %systemroot%\system32\Rundll32.exe  %systemroot%\system32\vuyhnwk61.dll,DllUnregisterServer
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O9 - Extra button: ֪ʶ¿â - {06926B30-424E-4f1c-8EE3-543CD96573DC} - http://blank.la/?h (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2E58BC9-AB78-4F07-9E6C-2C06CEE38DAB}: NameServer = 172.16.1.20
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Information Retrieval\MSITSS.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O20 - AppInit_DLLs: NTNJXSJTVC.dll longasus.dll momusi.dll joasus.dll joliom.dll,tisqdtyu.dll,nhmxejkl.dll googleons.dll welycz.dll fackwir.dll pcibexl.dll cbplus.dll caotxb.dll ezcron.dll wcomipe.dll comremo.dll jsnoer.dll ceshleo.dll myasemt.dll mssetd.dll tiplict.dll businesn.dll wcnonpe.dll keyiftp.dll esceps.dll instok.dll baccops.dll aliens.dll offecao.dll cmonos.dll wdhotem.dll xpsbos.dll rmbsony.dll manleu.dll therbrek.dll jolin0.dll offscrl.dll squalle.dll crtnumo.dll tennfs.dll
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O21 - SSODL: DesktopWin - {DA191DE0-AA86-4ED0-4B87-292A3D48BE99} - C:\WINDOWS\AppPatch\DesktopWin.dll (file missing)
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Pré-carregador Browseui - %SystemRoot%\System32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Daemon de cache de categorias de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:
----------------------
ShellExecuteHooks: {6319A1F1-9410-9654-3201-345FFA349136} - zywmfime.dll - (no file)
ShellExecuteHooks: {83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38} - yxfhcjpg.dll - (no file)
ShellExecuteHooks: {4FD45A54-9875-698F-E56E-65102358FDF4} - apsgdjba.dll - (no file)
ShellExecuteHooks: {CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068} -  - C:\WINDOWS\System32\jhrcar.dll (file missing)
ShellExecuteHooks: {4A069845-2036-6084-9054-6087502480A4} - ozfydbyt.dll - (no file)
ShellExecuteHooks: {6C8D1401-A58D-A81C-CD24-A5915C4517C6} - mnmhfsrv.dll - (no file)
ShellExecuteHooks: {33512378-9874-5641-1025-985420368733} - oswxcttb.dll - (no file)
ShellExecuteHooks: {8490415F-65F8-B5C5-D8BA-9405FB120548} - yzzthmsn.dll - (no file)
ShellExecuteHooks: {35671234-7890-ABCD-CDEF-567801237653} - yxcschlp.dll - (no file)
ShellExecuteHooks: {27AC9076-C898-B098-D098-A18319080972} - nhmxbjkl.dll - (no file)
ShellExecuteHooks: {32023698-6984-8541-9654-698745012523} - skqncbib.dll - (no file)
ShellExecuteHooks: {50940F85-F015-14F1-A05F-F69858AC6D05} - zptlcsys.dll - (no file)
ShellExecuteHooks: {81954FAC-1023-154F-895A-1458258AD818} - ypdjfbmp.dll - (no file)
ShellExecuteHooks: {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - mnmhgsrv.dll - (no file)
ShellExecuteHooks: {13FD5987-65D2-C58D-D87E-987451F12531} - swsxachu.dll - (no file)
ShellExecuteHooks: {22596546-2036-9451-6058-658402589722} - opshbbty.dll - (no file)
ShellExecuteHooks: {91698482-6555-3666-1222-954784129019} - zxptejpg.dll - (no file)
ShellExecuteHooks: {1DB3C525-5271-46F7-887A-D4E1ADAA7632} -  - C:\WINDOWS\System32\hfrdzx.dll (file missing)
ShellExecuteHooks: {45AADFAA-DD36-42AB-83AD-0521BBF58C24} -  - C:\WINDOWS\System32\zycdex.dll (file missing)
ShellExecuteHooks: {4A698102-5904-AFD0-20DF-CD1A65829CA4} - zycbdime.dll - C:\WINDOWS\System32\zycbdime.dll (file missing)
ShellExecuteHooks: {18093456-9012-4568-9076-908765467181} - tisqatyu.dll - (no file)
ShellExecuteHooks: {B490415F-65F8-B5C5-D8BA-9405FB12054B} - yzztkmsn.dll - (no file)
ShellExecuteHooks: {1A698452-C5D8-C584-C256-C264C987C5A1} - ijdyapaw.dll - (no file)
ShellExecuteHooks: {5D098345-6785-1098-5413-678067AE03D5} - tysqbkol.dll - (no file)
ShellExecuteHooks: {5A069845-2036-6084-9054-6087502480A5} - ozfyebyt.dll - (no file)
ShellExecuteHooks: {7C69034A-F45F-D34D-A33A-C33C4D324FC7} - arjreler.dll - (no file)
ShellExecuteHooks: {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} - pqzfajke.dll - (no file)
ShellExecuteHooks: {37AC9076-C898-B098-D098-A18319080973} - nhmxcjkl.dll - (no file)
ShellExecuteHooks: {A629FF4F-ACDB-5C90-A098-FACB3456A26A} - s2da2f323.dll - (no file)
ShellExecuteHooks: {528DF602-9541-A985-210A-984A698C6F25} - ptjhehlp.dll - C:\WINDOWS\System32\ptjhehlp.dll (file missing)
ShellExecuteHooks: {87FD640A-158F-48AC-FD14-1597F14A9778} - mndshsrv.dll - C:\WINDOWS\System32\mndshsrv.dll (file missing)
ShellExecuteHooks: {4A908760-8000-4000-A000-9000322145A4} - akjsdkaq.dll - (no file)
ShellExecuteHooks: {2B69874A-C58C-458D-69F0-698F874E41B2} - lassaplo.dll - (no file)
ShellExecuteHooks: {54FAE856-AD58-20CB-A025-CD4895FA6E45} - pjjxedwd.dll - (no file)
ShellExecuteHooks: {3C954872-1230-6541-9548-6541025884C3} - lijzclit.dll - (no file)
ShellExecuteHooks: {43512378-9874-5641-1025-985420368734} - oswxdttb.dll - (no file)
ShellExecuteHooks: {20909876-4567-3908-4056-909834565102} - erxybloe.dll - (no file)
ShellExecuteHooks: {6B1AEF69-DDAE-FDAD-DCAB-698F026ABDB6} - oohxebyt.dll - (no file)
ShellExecuteHooks: {7FD45A54-9875-698F-E56E-65102358FDF7} - apsggjba.dll - C:\WINDOWS\System32\apsggjba.dll (file missing)
ShellExecuteHooks: {7A041F13-A111-12A3-B0CF-F99818AA68A7} - zxmsdwin.dll - C:\WINDOWS\System32\zxmsdwin.dll (file missing)
ShellExecuteHooks: {55694105-5108-9405-3695-954187462155} - mpwdeapi.dll - C:\WINDOWS\System32\mpwdeapi.dll
ShellExecuteHooks: {B629FF4F-ACDB-5C90-A098-FACB3456A26B} - hdf453d.dll - (no file)
ShellExecuteHooks: {80AF1289-F140-A140-D012-C1458759FC08} - ypcqghlp.dll - C:\WINDOWS\System32\ypcqghlp.dll (file missing)
ShellExecuteHooks: {AA59145F-315D-BC23-AC1F-145DF81A34AA} - zyzxjime.dll - C:\WINDOWS\System32\zyzxjime.dll (file missing)
ShellExecuteHooks: {2A698452-C5D8-C584-C256-C264C987C5A2} - ijdybpaw.dll - C:\WINDOWS\System32\ijdybpaw.dll (file missing)
ShellExecuteHooks: {6C648541-1025-9650-9057-6541258720C6} - mndhfdwd.dll - C:\WINDOWS\System32\mndhfdwd.dll (file missing)
ShellExecuteHooks: {20618412-C528-C784-C056-C164D1F7C502} - detxbiua.dll - (no file)
ShellExecuteHooks: {37A924AF-1A5F-CF21-AB1D-1D5CF82A8A73} - zywlcime.dll - (no file)
ShellExecuteHooks: {52023698-6984-8541-9654-698745012525} - skqnebib.dll - (no file)
ShellExecuteHooks: {7319A1F1-9410-9654-3201-345FFA349137} - zywmgime.dll - (no file)
ShellExecuteHooks: {C490415F-65F8-B5C5-D8BA-9405FB12054C} - yzztlmsn.dll - (no file)
ShellExecuteHooks: {8C8D1401-A58D-A81C-CD24-A5915C4517C8} - mnmhhsrv.dll - C:\WINDOWS\System32\mnmhhsrv.dll (file missing)
ShellExecuteHooks: {470165F1-9F65-569F-F895-F14F58F41074} - lofsdjbo.dll - C:\WINDOWS\System32\lofsdjbo.dll (file missing)
ShellExecuteHooks: {8A041F13-A111-12A3-B0CF-F99818AA68A8} - zxmsewin.dll - C:\WINDOWS\System32\zxmsewin.dll (file missing)
ShellExecuteHooks: {45671234-7890-ABCD-CDEF-567801237654} - yxcsdhlp.dll - C:\WINDOWS\System32\yxcsdhlp.dll (file missing)
ShellExecuteHooks: {8C954872-1230-6541-9548-6541025884C8} - fd233ds4f4.dll - C:\WINDOWS\System32\fd233ds4f4.dll (file missing)
ShellExecuteHooks: {C629FF4F-ACDB-5C90-A098-FACB3456A26C} - hdf453d1.dll - C:\WINDOWS\System32\hdf453d1.dll (file missing)
ShellExecuteHooks: {60940F85-F015-14F1-A05F-F69858AC6D06} - zptldsys.dll - C:\WINDOWS\System32\zptldsys.dll (file missing)
ShellExecuteHooks: {25FD6584-698F-BCD2-602C-698745210352} - rijxbkin.dll - C:\WINDOWS\System32\rijxbkin.dll
ShellExecuteHooks: {14698742-2059-3025-9058-954023874141} - jkhxaklo.dll - C:\WINDOWS\System32\jkhxaklo.dll (file missing)
ShellExecuteHooks: {A1954FAC-1023-154F-895A-1458258AD81A} - ypdjhbmp.dll - C:\WINDOWS\System32\ypdjhbmp.dll (file missing)
ShellExecuteHooks: {9319A1F1-9410-9654-3201-345FFA349139} - zywmiime.dll - C:\WINDOWS\System32\zywmiime.dll (file missing)
ShellExecuteHooks: {50618412-C528-C784-C056-C164D1F7C505} - detxeiua.dll - C:\WINDOWS\System32\detxeiua.dll (file missing)
ShellExecuteHooks: {57AC9076-C898-B098-D098-A18319080975} - nhmxejkl.dll - C:\WINDOWS\System32\nhmxejkl.dll (file missing)
ShellExecuteHooks: {47A924AF-1A5F-CF21-AB1D-1D5CF82A8A74} - zywldime.dll - C:\WINDOWS\System32\zywldime.dll (file missing)
ShellExecuteHooks: {97FD640A-158F-48AC-FD14-1597F14A9779} - mndsisrv.dll - C:\WINDOWS\System32\mndsisrv.dll (file missing)
ShellExecuteHooks: {49109876-7619-9101-7012-901938475194} - ietzdpaq.dll - C:\WINDOWS\System32\ietzdpaq.dll (file missing)
ShellExecuteHooks: {6A908760-8000-4000-A000-9000322145A6} - akjsfkaq.dll - C:\WINDOWS\System32\akjsfkaq.dll (file missing)
ShellExecuteHooks: {48093456-9012-4568-9076-908765467184} - tisqdtyu.dll - C:\WINDOWS\System32\tisqdtyu.dll (file missing)
ShellExecuteHooks: {4D698451-2015-6358-9871-2015987452D4} - apzhdtde.dll - C:\WINDOWS\System32\apzhdtde.dll (file missing)
ShellExecuteHooks: {6A069845-2036-6084-9054-6087502480A6} - ozfyfbyt.dll - C:\WINDOWS\System32\ozfyfbyt.dll
ShellExecuteHooks: {8FD45A54-9875-698F-E56E-65102358FDF8} - apsghjba.dll - C:\WINDOWS\System32\apsghjba.dll (file missing)
ShellExecuteHooks: {EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6} -  - C:\WINDOWS\System32\fsrgeb.dll (file missing)
ShellExecuteHooks: {53D44DB6-E22B-4B17-97D3-572C96CCA6E1} -  - C:\WINDOWS\System32\zsdgff.dll
ShellExecuteHooks: {28766E1C-74B0-4417-8C75-F12AE309EF35} -  - C:\WINDOWS\System32\wzcfsw.dll
ShellExecuteHooks: {A9895933-6636-4281-BC58-EE6DE2AF96E3} -  - C:\WINDOWS\System32\ddserh.dll
ShellExecuteHooks: {6E6CA8A1-81BC-4707-A54C-F4903DD70BAD} -  - C:\WINDOWS\System32\zgxfdx.dll (file missing)
ShellExecuteHooks: {8C41B7F7-3168-400D-A702-0E7EFE0BA304} -  - C:\WINDOWS\System32\sgdewg.dll
ShellExecuteHooks: {7914E0AA-ECCB-4311-B584-C49538227824} -  - C:\WINDOWS\System32\jhfrxz.dll (file missing)
ShellExecuteHooks: {0B846B26-BFE6-4E8E-A948-1DB17B77B483} -  - C:\WINDOWS\System32\tdfhex.dll
ShellExecuteHooks: {73AE86E6-7F03-4C3B-8980-FB1DA157D3C7} -  - C:\WINDOWS\System32\fmcvxy.dll (file missing)
ShellExecuteHooks: {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} -  - C:\WINDOWS\System32\hhrdxd.dll (file missing)
ShellExecuteHooks: {84143967-B645-4BFF-B873-DA1DC886E9A7} -  - C:\WINDOWS\System32\cedafb.dll (file missing)
ShellExecuteHooks: {461D2AB4-29A5-45C2-9134-D52272D3DE38} -  - C:\WINDOWS\System32\rfdswc.dll (file missing)
ShellExecuteHooks: {841529CB-7F77-4B99-A895-B5441E0D302F} -  - C:\WINDOWS\System32\jfrwdh.dll (file missing)
ShellExecuteHooks: {259BF3CF-194D-4FE6-9ADB-DE6544B098B6} -  - C:\WINDOWS\System32\dndsaf.dll (file missing)
ShellExecuteHooks: {4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4} -  - C:\WINDOWS\System32\tdggrz.dll (file missing)

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: apcdli - Unknown owner - C:\Arquivos de programas\Microsoft Office\SYSTEM\apcdli.sys
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: NVIDIA Compatible Windows Miniport Driver (cdralw) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nvmini.sys (file missing)
O23 - Service: Centrr - Unknown owner - C:\WINDOWS\System32\tcpip.exe
O23 - Service: iTechnology iGateway 4.2 (iGateway) - CA, Inc. - C:\Arquivos de programas\CA\SharedComponents\iTechnology\igateway.exe
O23 - Service: Serviço RPC do eTrust ITM (InoRPC) - CA - C:\Arquivos de programas\CA\eTrustITM\InoRpc.exe
O23 - Service: Serviço em tempo real do eTrust ITM (InoRT) - CA - C:\Arquivos de programas\CA\eTrustITM\InoRT.exe
O23 - Service: Serviço de tarefas do eTrust ITM (InoTask) - CA - C:\Arquivos de programas\CA\eTrustITM\InoTask.exe
O23 - Service: INO_FLTR - Computer Associates - C:\WINDOWS\System32\Drivers\ino_fltr.sys
O23 - Service: CA Pest Patrol Realtime Protection Service (ITMRTSVC) - CA, Inc. - C:\Arquivos de programas\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe
O23 - Service: ntptdb - Unknown owner - C:\Documents and Settings\All Users\Dados de aplicativos\Microsoft\Office\SYSTEM\ntptdb.sys
**O23 - Service: Chama de procedimento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: wwinsystem - Unknown owner - C:\WINDOWS\System32\tcpip.exe

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys
O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys
O23 - Service: atimtai - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\atimtai.sys
O23 - Service: BCM5701 Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys
O23 - Service: Broadcom iLine10(tm) Network Adapter Driver (BCM42XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcm42xx5.sys
O23 - Service: Broadcom 440x 10/100 Integrated Controller XP Driver (bcm4sbxp) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcm4sbxp.sys
**O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: eth8023 - Unknown owner - C:\WINDOWS\system32\drivers\eth8023.sys
O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: Compartilhamento remoto da área de trabalho do NetMeeting
 (mnmsrvc) - Microsoft Corporation
 - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Driver de link paralelo direto (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: RESSDT - Unknown owner - C:\WINDOWS\System32\ssdtti.sys (file missing)
O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: SenFilt Service (SenFiltService) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\Senfilt.sys

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
O23 - Service: LiveUpdate - Unknown owner - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)

29 Servicios.
13 de Carga Automatica.
14 de Carga Manual.
2 Deshabilitados.


Vamos a analizarlo:

[msc hotline sat]

A primera vista, estan usando el I.E. 6 ya obsoleto y sin actualizaciones de seguridad, y sistema operativo XP SIN NINGUN PARCHE !!!

Sistema Operativo: Microsoft Windows XP (v5.1.2600)
Internet Explorer: (v6.0.2600.0000)

De entrada esto es como conducir sin frenos... Abran el I,E., vayan a Herramientas y lancen un windowsupdate. Piensen que del SP2 al SP3 hay 1073 parches, y Vds parece que no tienen ni el SP1 ni el SP2...

Y ya entrando en el HOSTS ! saben lo que tienen allí dentro ??? es voluntario ??? Aparte de las cientos de lineas que descartamos por ser tipicas del SPYBOT, tienen todas estas redirecciones que solo Dios (y quizas Vds) saben porqué las han puesto:

Código: Seleccionar todo

O1 - Hosts: 202.165.102.205 972.aksjd11.com  
O1 - Hosts: 202.165.102.205 w3og.cn  
O1 - Hosts: 203.208.35.100 qazc.fourtw.cn  
O1 - Hosts: 203.208.35.100 http://www.aujoy.cn  
O1 - Hosts: 203.208.35.101 http://www.hao601.cn  
O1 - Hosts: 203.208.35.101 http://www.psp476.cn  
O1 - Hosts: 72.14.235.99 222.1212l112.net  
O1 - Hosts: 72.14.235.99 444.1212l112.netn  
O1 - Hosts: 72.14.235.99 555.1212l112.net  
O1 - Hosts: 72.14.235.99 111.1212l112.net  
O1 - Hosts: 65.55.21.250 111.3243l24.com  
O1 - Hosts: 65.55.21.250 222.3243l24.com  
O1 - Hosts: 65.55.21.250 333.3243l24.com  
O1 - Hosts: 125.64.8.112 kao2.gmwo03.com  
O1 - Hosts: 125.64.8.112 kao.gmwo06.com  
O1 - Hosts: 125.64.8.112 444.gmwo07.com  
O1 - Hosts: 116.252.185.15 ru.update365.us  
   O1 - Hosts: 116.252.185.15 ad.update365.us  
   O1 - Hosts: 207.46.232.182 popmails.net  
   O1 - Hosts: 203.208.37.99 3.goodhh.com  
   O1 - Hosts: 220.181.37.55 down.rwixr.com  
   O1 - Hosts: 160.79.42.52 http://www.xdj2008.com  
   O1 - Hosts: 63.175.76.152 http://www.revtr.cn  
   O1 - Hosts: 219.133.40.91 qq.ljsll.com  
   O1 - Hosts: 203.208.35.102 http://www.aassccwe.cn  
   O1 - Hosts: 209.132.177.50 973.aksjd11.com  
   O1 - Hosts: 209.132.177.50 974.aksjd11.com  
   O1 - Hosts: 209.132.177.50 971.aksjd11.com  
   O1 - Hosts: 209.132.177.50 975.aksjd11.com  
   O1 - Hosts: 72.14.235.104 user1.12-39.net  
   O1 - Hosts: 72.14.235.147 http://www.infomt.net  
   O1 - Hosts: 192.150.18.101 ata1.sysions.net  
   O1 - Hosts: 192.150.18.101 ata2.sysions.net  
   O1 - Hosts: 192.150.18.101 ata3.sysions.net  
   O1 - Hosts: 192.150.18.101 ata4.sysions.net  
   O1 - Hosts: 193.120.42.226 8nnnnn99.cn  
   O1 - Hosts: 24.39.54.34 http://www.haoaoao.cn 

No habiamos visto nunca un ordenador con tantas redirecciones, aunque si son voluntarias, nada que decir, pero dudo que asi sea !

Las que no conozcan, eliminenlas !!!



Sigamos, esta clave:
O2 - BHO: (no name) - {18093456-9012-4568-9076-908765467181} - (no file) => procede eliminarla, procede de un troyano eliminado.
O2 - BHO: (no name) - {4A698102-5904-AFD0-20DF-CD1A65829CA4} - C:\WINDOWS\System32\zycbdime.dll (file missing) => es otra clave maliciosa, aunque quizás ya se haya borrado el fichero que lanza, en cualquier caso eliminarla, pues podría estar con atributos que no permitieran verlo... procede eliminarla tambien!
O2 - BHO: (no name) - {55694105-5108-9405-3695-954187462155} - C:\WINDOWS\System32\mpwdeapi.dll => envienos el fichero quye lanza para analizar y pasar a controlar con nuestras utilidades si aun no lo detectamos: C:\WINDOWS\System32\mpwdeapi.dll procede eliminarla tambien !
O2 - BHO: IncePrivate Class - {686488AF-13D5-9DDF-4FEF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\SgwZeghvvV.dll => es desconocida y sospechosa al no haber ninguna referencia del fichero que lanza, enviennoslo para analizar: C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\SgwZeghvvV.dll
O2 - BHO: (no name) - {6C648541-1025-9650-9057-6541258720C6} - C:\WINDOWS\System32\mndhfdwd.dll (file missing) => Eliminala son restos del anterior
O2 - BHO: (no name) - {7A041F13-A111-12A3-B0CF-F99818AA68A7} - C:\WINDOWS\System32\zxmsdwin.dll (file missing) => Eliminala son restos del anterior
O2 - BHO: (no name) - {87FD640A-158F-48AC-FD14-1597F14A9778} - C:\WINDOWS\System32\mndshsrv.dll (file missing) => Eliminala son restos del anterior
Y la siguiente clave, peligrosa y está activa:
O2 - BHO: ThunderHlpObj Class - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll => debe eliminarse !!!
O2 - BHO: (no name) - {AA59145F-315D-BC23-AC1F-145DF81A34AA} - C:\WINDOWS\System32\zyzxjime.dll (file missing) => Eliminala
O2 - BHO: (no name) - {B629FF4F-ACDB-5C90-A098-FACB3456A26B} - (no file) => Eliminala
O4 - HKLM\..\Run: [winlog] C:\WINDOWS\Fonts\winlog.exe => Eliminala
O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main => Eliminala
Esta es desconocida y sospechosa:
O4 - HKLM\..\RunOnce: [vuyhnwk61] %systemroot%\system32\Rundll32.exe %systemroot%\system32\vuyhnwk61.dll,DllUnregisterServer

No hay referencias del fichero, asi que enviennoslo para analizar

De todas formas, al ser una RUN ONCE, desaparece en el sguiente reinicio, posiblemente la instale algun congenere...

Esta eliminenla directamente: O9 - Extra button: ֪ʶ¿â - {06926B30-424E-4f1c-8EE3-543CD96573DC} - http://blank.la/?h (file missing)

y esta es de lo lindo :

O20 - AppInit_DLLs: NTNJXSJTVC.dll longasus.dll momusi.dll joasus.dll joliom.dll,tisqdtyu.dll,nhmxejkl.dll googleons.dll welycz.dll fackwir.dll pcibexl.dll cbplus.dll caotxb.dll ezcron.dll wcomipe.dll comremo.dll jsnoer.dll ceshleo.dll myasemt.dll mssetd.dll tiplict.dll businesn.dll wcnonpe.dll keyiftp.dll esceps.dll instok.dll baccops.dll aliens.dll offecao.dll cmonos.dll wdhotem.dll xpsbos.dll rmbsony.dll manleu.dll therbrek.dll jolin0.dll offscrl.dll squalle.dll crtnumo.dll tennfs.dll

no solo hay que eliminarla, sino eliminar tambien todas las DLL relacionadas con dicha clave !

y estas dos tambien eliminarlas, ya se hablaba del primer fichero anteriormente:

O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O21 - SSODL: DesktopWin - {DA191DE0-AA86-4ED0-4B87-292A3D48BE99} - C:\WINDOWS\AppPatch\DesktopWin.dll (file missing)

y de la última ver :http://www.greatis.com/appdata/d/Windows/a/apppatch_desktopwin.dll.htm

asi que eliminar las dos !



y llegamos al monton de claves maliciosas que se deben haber creado en los reinicios, y deben eliminarse todas:

ShellExecuteHooks: {6319A1F1-9410-9654-3201-345FFA349136} - zywmfime.dll - (no file)
ShellExecuteHooks: {83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38} - yxfhcjpg.dll - (no file)
ShellExecuteHooks: {4FD45A54-9875-698F-E56E-65102358FDF4} - apsgdjba.dll - (no file)
ShellExecuteHooks: {CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068} - - C:\WINDOWS\System32\jhrcar.dll (file missing)
ShellExecuteHooks: {4A069845-2036-6084-9054-6087502480A4} - ozfydbyt.dll - (no file)
ShellExecuteHooks: {6C8D1401-A58D-A81C-CD24-A5915C4517C6} - mnmhfsrv.dll - (no file)
ShellExecuteHooks: {33512378-9874-5641-1025-985420368733} - oswxcttb.dll - (no file)
ShellExecuteHooks: {8490415F-65F8-B5C5-D8BA-9405FB120548} - yzzthmsn.dll - (no file)
ShellExecuteHooks: {35671234-7890-ABCD-CDEF-567801237653} - yxcschlp.dll - (no file)
ShellExecuteHooks: {27AC9076-C898-B098-D098-A18319080972} - nhmxbjkl.dll - (no file)
ShellExecuteHooks: {32023698-6984-8541-9654-698745012523} - skqncbib.dll - (no file)
ShellExecuteHooks: {50940F85-F015-14F1-A05F-F69858AC6D05} - zptlcsys.dll - (no file)
ShellExecuteHooks: {81954FAC-1023-154F-895A-1458258AD818} - ypdjfbmp.dll - (no file)
ShellExecuteHooks: {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - mnmhgsrv.dll - (no file)
ShellExecuteHooks: {13FD5987-65D2-C58D-D87E-987451F12531} - swsxachu.dll - (no file)
ShellExecuteHooks: {22596546-2036-9451-6058-658402589722} - opshbbty.dll - (no file)
ShellExecuteHooks: {91698482-6555-3666-1222-954784129019} - zxptejpg.dll - (no file)
ShellExecuteHooks: {1DB3C525-5271-46F7-887A-D4E1ADAA7632} - - C:\WINDOWS\System32\hfrdzx.dll (file missing)
ShellExecuteHooks: {45AADFAA-DD36-42AB-83AD-0521BBF58C24} - - C:\WINDOWS\System32\zycdex.dll (file missing)
ShellExecuteHooks: {4A698102-5904-AFD0-20DF-CD1A65829CA4} - zycbdime.dll - C:\WINDOWS\System32\zycbdime.dll (file missing)
ShellExecuteHooks: {18093456-9012-4568-9076-908765467181} - tisqatyu.dll - (no file)
ShellExecuteHooks: {B490415F-65F8-B5C5-D8BA-9405FB12054B} - yzztkmsn.dll - (no file)
ShellExecuteHooks: {1A698452-C5D8-C584-C256-C264C987C5A1} - ijdyapaw.dll - (no file)
ShellExecuteHooks: {5D098345-6785-1098-5413-678067AE03D5} - tysqbkol.dll - (no file)
ShellExecuteHooks: {5A069845-2036-6084-9054-6087502480A5} - ozfyebyt.dll - (no file)
ShellExecuteHooks: {7C69034A-F45F-D34D-A33A-C33C4D324FC7} - arjreler.dll - (no file)
ShellExecuteHooks: {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} - pqzfajke.dll - (no file)
ShellExecuteHooks: {37AC9076-C898-B098-D098-A18319080973} - nhmxcjkl.dll - (no file)
ShellExecuteHooks: {A629FF4F-ACDB-5C90-A098-FACB3456A26A} - s2da2f323.dll - (no file)
ShellExecuteHooks: {528DF602-9541-A985-210A-984A698C6F25} - ptjhehlp.dll - C:\WINDOWS\System32\ptjhehlp.dll (file missing)
ShellExecuteHooks: {87FD640A-158F-48AC-FD14-1597F14A9778} - mndshsrv.dll - C:\WINDOWS\System32\mndshsrv.dll (file missing)
ShellExecuteHooks: {4A908760-8000-4000-A000-9000322145A4} - akjsdkaq.dll - (no file)
ShellExecuteHooks: {2B69874A-C58C-458D-69F0-698F874E41B2} - lassaplo.dll - (no file)
ShellExecuteHooks: {54FAE856-AD58-20CB-A025-CD4895FA6E45} - pjjxedwd.dll - (no file)
ShellExecuteHooks: {3C954872-1230-6541-9548-6541025884C3} - lijzclit.dll - (no file)
ShellExecuteHooks: {43512378-9874-5641-1025-985420368734} - oswxdttb.dll - (no file)
ShellExecuteHooks: {20909876-4567-3908-4056-909834565102} - erxybloe.dll - (no file)
ShellExecuteHooks: {6B1AEF69-DDAE-FDAD-DCAB-698F026ABDB6} - oohxebyt.dll - (no file)
ShellExecuteHooks: {7FD45A54-9875-698F-E56E-65102358FDF7} - apsggjba.dll - C:\WINDOWS\System32\apsggjba.dll (file missing)
ShellExecuteHooks: {7A041F13-A111-12A3-B0CF-F99818AA68A7} - zxmsdwin.dll - C:\WINDOWS\System32\zxmsdwin.dll (file missing)
ShellExecuteHooks: {55694105-5108-9405-3695-954187462155} - mpwdeapi.dll - C:\WINDOWS\System32\mpwdeapi.dll
ShellExecuteHooks: {B629FF4F-ACDB-5C90-A098-FACB3456A26B} - hdf453d.dll - (no file)
ShellExecuteHooks: {80AF1289-F140-A140-D012-C1458759FC08} - ypcqghlp.dll - C:\WINDOWS\System32\ypcqghlp.dll (file missing)
ShellExecuteHooks: {AA59145F-315D-BC23-AC1F-145DF81A34AA} - zyzxjime.dll - C:\WINDOWS\System32\zyzxjime.dll (file missing)
ShellExecuteHooks: {2A698452-C5D8-C584-C256-C264C987C5A2} - ijdybpaw.dll - C:\WINDOWS\System32\ijdybpaw.dll (file missing)
ShellExecuteHooks: {6C648541-1025-9650-9057-6541258720C6} - mndhfdwd.dll - C:\WINDOWS\System32\mndhfdwd.dll (file missing)
ShellExecuteHooks: {20618412-C528-C784-C056-C164D1F7C502} - detxbiua.dll - (no file)
ShellExecuteHooks: {37A924AF-1A5F-CF21-AB1D-1D5CF82A8A73} - zywlcime.dll - (no file)
ShellExecuteHooks: {52023698-6984-8541-9654-698745012525} - skqnebib.dll - (no file)
ShellExecuteHooks: {7319A1F1-9410-9654-3201-345FFA349137} - zywmgime.dll - (no file)
ShellExecuteHooks: {C490415F-65F8-B5C5-D8BA-9405FB12054C} - yzztlmsn.dll - (no file)
ShellExecuteHooks: {8C8D1401-A58D-A81C-CD24-A5915C4517C8} - mnmhhsrv.dll - C:\WINDOWS\System32\mnmhhsrv.dll (file missing)
ShellExecuteHooks: {470165F1-9F65-569F-F895-F14F58F41074} - lofsdjbo.dll - C:\WINDOWS\System32\lofsdjbo.dll (file missing)
ShellExecuteHooks: {8A041F13-A111-12A3-B0CF-F99818AA68A8} - zxmsewin.dll - C:\WINDOWS\System32\zxmsewin.dll (file missing)
ShellExecuteHooks: {45671234-7890-ABCD-CDEF-567801237654} - yxcsdhlp.dll - C:\WINDOWS\System32\yxcsdhlp.dll (file missing)
ShellExecuteHooks: {8C954872-1230-6541-9548-6541025884C8} - fd233ds4f4.dll - C:\WINDOWS\System32\fd233ds4f4.dll (file missing)
ShellExecuteHooks: {C629FF4F-ACDB-5C90-A098-FACB3456A26C} - hdf453d1.dll - C:\WINDOWS\System32\hdf453d1.dll (file missing)
ShellExecuteHooks: {60940F85-F015-14F1-A05F-F69858AC6D06} - zptldsys.dll - C:\WINDOWS\System32\zptldsys.dll (file missing)
ShellExecuteHooks: {25FD6584-698F-BCD2-602C-698745210352} - rijxbkin.dll - C:\WINDOWS\System32\rijxbkin.dll
ShellExecuteHooks: {14698742-2059-3025-9058-954023874141} - jkhxaklo.dll - C:\WINDOWS\System32\jkhxaklo.dll (file missing)
ShellExecuteHooks: {A1954FAC-1023-154F-895A-1458258AD81A} - ypdjhbmp.dll - C:\WINDOWS\System32\ypdjhbmp.dll (file missing)
ShellExecuteHooks: {9319A1F1-9410-9654-3201-345FFA349139} - zywmiime.dll - C:\WINDOWS\System32\zywmiime.dll (file missing)
ShellExecuteHooks: {50618412-C528-C784-C056-C164D1F7C505} - detxeiua.dll - C:\WINDOWS\System32\detxeiua.dll (file missing)
ShellExecuteHooks: {57AC9076-C898-B098-D098-A18319080975} - nhmxejkl.dll - C:\WINDOWS\System32\nhmxejkl.dll (file missing)
ShellExecuteHooks: {47A924AF-1A5F-CF21-AB1D-1D5CF82A8A74} - zywldime.dll - C:\WINDOWS\System32\zywldime.dll (file missing)
ShellExecuteHooks: {97FD640A-158F-48AC-FD14-1597F14A9779} - mndsisrv.dll - C:\WINDOWS\System32\mndsisrv.dll (file missing)
ShellExecuteHooks: {49109876-7619-9101-7012-901938475194} - ietzdpaq.dll - C:\WINDOWS\System32\ietzdpaq.dll (file missing)
ShellExecuteHooks: {6A908760-8000-4000-A000-9000322145A6} - akjsfkaq.dll - C:\WINDOWS\System32\akjsfkaq.dll (file missing)
ShellExecuteHooks: {48093456-9012-4568-9076-908765467184} - tisqdtyu.dll - C:\WINDOWS\System32\tisqdtyu.dll (file missing)
ShellExecuteHooks: {4D698451-2015-6358-9871-2015987452D4} - apzhdtde.dll - C:\WINDOWS\System32\apzhdtde.dll (file missing)
ShellExecuteHooks: {6A069845-2036-6084-9054-6087502480A6} - ozfyfbyt.dll - C:\WINDOWS\System32\ozfyfbyt.dll
ShellExecuteHooks: {8FD45A54-9875-698F-E56E-65102358FDF8} - apsghjba.dll - C:\WINDOWS\System32\apsghjba.dll (file missing)
ShellExecuteHooks: {EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6} - - C:\WINDOWS\System32\fsrgeb.dll (file missing)
ShellExecuteHooks: {53D44DB6-E22B-4B17-97D3-572C96CCA6E1} - - C:\WINDOWS\System32\zsdgff.dll
ShellExecuteHooks: {28766E1C-74B0-4417-8C75-F12AE309EF35} - - C:\WINDOWS\System32\wzcfsw.dll
ShellExecuteHooks: {A9895933-6636-4281-BC58-EE6DE2AF96E3} - - C:\WINDOWS\System32\ddserh.dll
ShellExecuteHooks: {6E6CA8A1-81BC-4707-A54C-F4903DD70BAD} - - C:\WINDOWS\System32\zgxfdx.dll (file missing)
ShellExecuteHooks: {8C41B7F7-3168-400D-A702-0E7EFE0BA304} - - C:\WINDOWS\System32\sgdewg.dll
ShellExecuteHooks: {7914E0AA-ECCB-4311-B584-C49538227824} - - C:\WINDOWS\System32\jhfrxz.dll (file missing)
ShellExecuteHooks: {0B846B26-BFE6-4E8E-A948-1DB17B77B483} - - C:\WINDOWS\System32\tdfhex.dll
ShellExecuteHooks: {73AE86E6-7F03-4C3B-8980-FB1DA157D3C7} - - C:\WINDOWS\System32\fmcvxy.dll (file missing)
ShellExecuteHooks: {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} - - C:\WINDOWS\System32\hhrdxd.dll (file missing)
ShellExecuteHooks: {84143967-B645-4BFF-B873-DA1DC886E9A7} - - C:\WINDOWS\System32\cedafb.dll (file missing)
ShellExecuteHooks: {461D2AB4-29A5-45C2-9134-D52272D3DE38} - - C:\WINDOWS\System32\rfdswc.dll (file missing)
ShellExecuteHooks: {841529CB-7F77-4B99-A895-B5441E0D302F} - - C:\WINDOWS\System32\jfrwdh.dll (file missing)
ShellExecuteHooks: {259BF3CF-194D-4FE6-9ADB-DE6544B098B6} - - C:\WINDOWS\System32\dndsaf.dll (file missing)
ShellExecuteHooks: {4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4} - - C:\WINDOWS\System32\tdggrz.dll (file missing)

asi pues todas las indicadas en este grupo, al bote !



y estas:

O23 - Service: NVIDIA Compatible Windows Miniport Driver (cdralw) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nvmini.sys (file missing)

O23 - Service: Centrr - Unknown owner - C:\WINDOWS\System32\tcpip.exe

O23 - Service: eth8023 - Unknown owner - C:\WINDOWS\system32\drivers\eth8023.sys

O23 - Service: Compartilhamento remoto da área de trabalho do NetMeeting
Unknown service. () (mnmsrvc) - Microsoft Corporation - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: RESSDT - Unknown owner - C:\WINDOWS\System32\ssdtti.sys (file missing)
O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: SenFilt Service (SenFiltService) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\Senfilt.sys
las analizare posteriormente, en mi proximo post.



Por cierto, hay al final una de Symantec, y no debe haber mas de un antivirus en cada ordenador, debe ser un resto de una instalacion antigua, eliminarla:

O23 - Service: LiveUpdate - Unknown owner - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)

Para el envio de muestras y la eliminacion de claves, seguir estas indicaciones:


¿Como enviar las muestras a zonavirus? - Para ello recordar:
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253


y si no se ven con el HJT, probar el BUSCAREG:


BuscaReg (SATINFO)
Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

Descargar BuscaReg



luego termino,
saludos
ms, 4 de Agosto de 2008

[msc hotline sat]

Y al respecto de estas:



la:

O23 - Service: NVIDIA Compatible Windows Miniport Driver (cdralw) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nvmini.sys (file missing)

debe eliminarse, pues :

http://www.greatis.com/appdata/d/n/nvmini.sys.htm





y esta:

O23 - Service: Centrr - Unknown owner - C:\WINDOWS\System32\tcpip.exe

aunque el proceso TCPIP puede ser legitimo, posiblemente lanzado desde esta clave sea un troyano con dicho nombre:

http://spyware.adslnet.es/genera.php?processfile=tcpip.exe&dir=t&pag=6

envienos este fichero para analizar y de momento renombren su extension a .VIR para que no sea lanzado a partir del siguiente reinicio.





Y sobre esta:

O23 - Service: eth8023 - Unknown owner - C:\WINDOWS\system32\drivers\eth8023.sys

está considerada UNSAFE, asi que enviennos dicho fichero para analizar y renombren su extension a .VIR





y para la:

O23 - Service: Compartilhamento remoto da área de trabalho do NetMeeting

Unknown service. () (mnmsrvc) - Microsoft Corporation - C:\WINDOWS\System32\mnmsrvc.exe

consta: http://www.bleepingcomputer.com/startups/mnmsrvc.exe-1753.html, asi que si la han instalado voluntariamente, bien, pero sino habria que analizarla.





y sobre :

O23 - Service: RESSDT - Unknown owner - C:\WINDOWS\System32\ssdtti.sys (file missing)

ver: http://www.threatexpert.com/report.aspx?uid=269d1558-5ffb-425c-8df8-121bf6dff533

eliminen dicha clave al estar ya como file missing.





y en esta:

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

no figura para nada Macrovision, como es lo normal en todos los logs al respecto: O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys, asi que enviennos dicho fichero para analizar por posible sospechoso, y mientras, renombren su extension a .VIR





y por ultimo esta,O23 - Service: SenFilt Service (SenFiltService) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\Senfilt.sys,

aunque sea poco probable, podria ser troyano con el mismo nombre:

http://www.file.net/process/senfilt.sys.html

enviennos tambien fichero para analizar





y de momento, con los ficheros renombrados a .VIR y eliminadas las claves indicadas, tras reiniciar informennos si persisten algunas anomaliaa y en tal caso, cuales, gracias



saludos



ms, 4 de Agosto de 2008







NOTA: Siento que sea un poco compleja restaurar la normalidad a su PC, pero es que tenía de todo !!!



Por cierto, alguno de los troyanos detectados se propagan a traves de pendrive, es muy importante que vacunen ordenador y pendrives con el ELIPEN, como ya les indicamos, recuerdenlo ... ms.

[BRASIL]

Seria mais interessante neste caso, ao invés de eu tentar remediar o computador, já formatá-lo e atualizá-lo antes de colocá-lo novamente em minha rede certo?

Pois após todos estes relatórios, provavelmente este computador já esteja com o sistema operacional comprometido certo?

É ideal que eu faça este mesmo procedimento em todos os computadores da rede, utilizar estas ferramentas e verificar este log?

Este computador por estar hospedando todos os problemas que tenho tido aqui da rede ou podem haver outras na mesma condição?

Aguardo uma resposta para eu saber como proceder.

Obrigado

[msc hotline sat]

Nosotros somos una ingenieria de seguridad, investigadores, creadores de utilidades y solucionadores de problemas, y si formatearamos como Vds sugieren, no podriamos ayudar a los siguientes ordenadores que les pasara lo mismo.



Las muestras solicitadas sirven para que se controlen automaticamente dichos malwares con nuestras proximas versiones de utilidades, sin ellas de nada sirve nuestro trabajo.



Además, no solo es porque se lo pidamos y para ser utiles a los demas, sino para Vds mismos, que tienen otros ordenadores con los mismos problemas, y si van a formatear este, vayan pensando en formatearlos todos... Vds mismos !



Ya saben que han tenido un trato especial y preferente, y solo me queda por hacerles saber las IP a las que corresponden las lineas del HOSTS que les hemos dicho eliminar, y a las que eran redirigidos cuando querian acceder a las URL indicadas, y no creo que quisieran acceder a ellas voluntariamente, dados los paises de dichos sites:



202.165.102.205 AP Asia/Pacific Region 35.0000 105.0000 Internet Content Provider Internet Content Provider

203.208.35.100 CN China 22 Beijing Beijing 39.9289 116.3883 Beijing Gu Xiang Information Technology Co.,Ltd. Beijing Gu Xiang Information Technology Co.,Ltd.

72.14.235.99 US United States CA California Mountain View 94043 37.4192 -122.0574 Google Google 807 650

65.55.21.250 US United States 38.0000 -97.0000 Microsoft Corp Microsoft Corp

125.64.8.112 CN China 32 Sichuan Chengdu 30.6667 104.0666 CHINANET Sichuan province network CHINANET Sichuan province network

116.252.185.15 CN China 16 Guangxi Nanning 22.8167 108.3166 CHINANET Guangxi province network CHINANET Guangxi province network

207.46.232.182 US United States WA Washington Marysville 98270 48.0585 -122.1482 Microsoft Corp Microsoft Corp 819 360

203.208.37.99 CN China 22 Beijing Beijing 39.9289 116.3883 Beijing Gu Xiang Information Technology Co.,Ltd. Beijing Gu Xiang Information Technology Co.,Ltd.

220.181.37.55 CN China 22 Beijing Peking 39.9289 116.3883 Data Communication Division CHINANET Beijing Province Network

160.79.42.52 US United States NY New York Rye 10580 40.9777 -73.6935 WAVE2WAVE COMMUNICATIONS WAVE2WAVE COMMUNICATIONS 501 914

63.175.76.152 US United States CT Connecticut Stamford 06902 41.0610 -73.5429 Sprint Borland Software Corp. 501 203

219.133.40.91 CN China 30 Guangdong Shenzhen 22.5333 114.1333 Data Communication Division ChinaNet Guangdong Province Network

203.208.35.102 CN China 22 Beijing Beijing 39.9289 116.3883 Beijing Gu Xiang Information Technology Co.,Ltd. Beijing Gu Xiang Information Technology Co.,Ltd.

209.132.177.50 US United States NC North Carolina Raleigh 27606 35.7463 -78.7239 RED HAT RED HAT 560 919

72.14.235.147 US United States CA California Mountain View 94043 37.4192 -122.0574 Google Google 807 650

192.150.18.101 US United States CA California San Jose 95110 37.3422 -121.9052 Adobe Systems Adobe Systems 807 408

193.120.42.226 IE Ireland 07 Dublin Dublin 53.3331 -6.2489 Naas Road, Co. Dublin, Ireland. Naas Road, Co. Dublin, Ireland.

24.39.54.34 US United States ME Maine Portland 43.6724 -70.2849 Road Runner Business WINXNET 500 207



En fin , en cualquier caso ha sido un placer y espero les haya servido para informacion y conocimiento de lo importante que son los parches, actualizaciones y en general cuidar el ordenador con conocimiento de causa, y para lo que les pueda servir, vean este Tema que publiqué la semana pasada:





saludos



ms, 4 de Agosto de 2008

[BRASIL]

Esta lista de IPs que você me passou são os hosts externos aos quais estão se comunidando com o computador infectado?

Eu perguntei sobre formatar porque a quantidade é muito grande de problemas em um mesmo computador.

Se eu fizer estes procedimentos, é capaz que meu computador não fique muito bom ainda, não por ainda estar infectado e sim por ter comprometido a instalação do windows certo?

O que você recomenda que eu faça? Pois este é apenas um dos computadores de minha rede.

Teria algum procedimento que eu possa fazer ou bloqueio em meu firewall para que eu não continue tendo estes problemas sempre?

Tem algum tipo de ferramenta ou procedimento que eu possa utilizar em minha rede para que eu não tenha mais estes tipos de problemas?

Obrigado

[msc hotline sat]

Le explico:



Aunque Vd no tenga nongun virus ni esté infectado, con las lineas indicadas en el HOSTS (fichero que se encuentra en c:\windows\system32\drivers\etc\ ) cuando escribe en el navegador cualquiera de las URL indicadas, se le lleva a la IP redireccionada, sin que lo resuelva su servidor de DNS.



Y sobre este y los demas ordenadores, se supone que los tendrá con infecciones parecidas, y que con lo indicado para este podrá aplicar similar solucion a los demas. No es cuestion de firewall, los troyanos no intrusionan por IP, lease el Tema que le anexé en mi anterior post sobre "A DOS DIAS DE LAS VACACIONES", y haga caso, por su bien.



Entienda que si no nos envia las muestras ni sigue los pasos indicados y nos informa del resultado, no sabremos si lo indicado ha sido suficiente para librarle de la infeccion, y que si opta por el formateo, está en su derecho, pero vaya pensando en hacerlo en todos, claro !



Cuando nos empleamos a fondo como en su caso, y dedicamos dos o tres horas de nuestro tiempo para solucionar el problema de quien sea, esperamos que sirva para algo, pues no nos gusta trabajar para el demonio :mrgreen:



De todas formas, por lo menos que le sirva para saber todo lo que tenía, y el riesgo que se corre al usar aplicaciones obsoletas (I.E. 6) sistemas operativos sin parches (XP sin ningun SP) y usuarios con insuficiente conocimientos sobre la "inseguridad" informatica. Seguro que a mas de uno le puede ir bien leer el artículo indicado... :roll:



Y quizás si Vd no pyuede dedicarse a ello, alguno de sus empleados o los de mantenimiento del parque informatico, les puede ir bien lo comentado, hagaselo saber y obren en consecuencia, lo que hagan será para VDs, !



saludos



ms, 4 de Agostod e 2008

[BRASIL]

Certo,

entre hoje e amanhã irei executar passo a passo tudo o que você me instruiu para vermos o como fica ok?

Acredito que independente de postiormente ter de formatar ou não o computador, é interessante que eu siga os passos passados por ti.

Abraços

[msc hotline sat]

Igualmente.



saludos



ms, 4 de Agosto de 2008

[BRASIL]

Bom dia.

Conforme combinado, segui com os procedimentos no computador ao qual enviei aquele report.

Após eu ter seguido todos os procedimentos enviados, o computador não mais inicia normalmente.

Após a solicitação de usuário e senha de rede, ele simplesmente fica com o papel de parede ao fundo e não entra mais no sistema operacional.

Como procedo agora?

Obrigado

[BRASIL]

Conforme combinamos, realizei todos os processos, porém agora, o computador fica inacessível.

Na tela de login do windows, coloco o usuário e senha e após isto, não acontece mais nada.

Fica na tela somente o papel de parede.

Como procedo agora?

Obrigado

[lucl]

Tenemos un pequeño problema si no escribes en castellano no te entiendo correctamente, :roll: saludos

[msc hotline sat]

Son unos amigos del BRASIL, lucl, y con el traductor automatico portugues-castellano, podemos entendernos:



http://traductor.interbusca.com/portugues-espanol/


[quote]buen día. Conforme acordado, seguí con los procedimientos en el ordenador al cual envié aquel report. Después de yo haber seguido todos los procedimientos enviados, el ordenador no inicia normalmente. Después de la solicitud de usuario y contraseña de red, él simplemente queda con el papel de pared al fondo y no entra más en el sistema operacional. Como procedo ahora? Gracias [/quote]


[quote]Conforme acordamos, realicé todos los procesos, sin embargo ahora, el ordenador queda inacessíble. En la tela de login del windows, coloco el usuario y contraseña y después de esto, no acontece más nada. Queda en la tela solamente el papel de pared. Como procedo ahora? Gracias [/quote]



En ocasiones los virus y/o antivirus pueden eliminar ficheros o haberlos dañado de manera que no se pueda reiniciar normalmente.



Para estos casos se dispone de la opcion REPARAR dentro del CD de instalacion de windows.



Arranque con dicho CD, siga como si fuera a instalar y llegado el punto en que detecte particiones instaladas, le ofrecerá REPARAR o Reinstalar, y debe escogerse REPARAR, para sobreescribir todos los ficheros de sistema existentes con los originales y asi restaurar los dañados y regenerar los eliminados:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



No es frecuente tener que hacerlo, pero es que Vds no tenian un solo virus ... y ademas el último era infector, asi que modificaba los ficheros y su antivirus los tuvo que desinfectar, lo cual pudo no poder hacer correctamente con alguno de sistema...



Espero que tras dicha reparacion y la actualizacion de parches de microsoft, vuelva a reiniciar normalmente.



saludos



ms, 16 de Agosto de 2008