Malware ndisio.sys AYUDA!!!!!

kalinkimo · Mensaje por **kalinkimo** » 20 Ago 2008, 02:27

Hola, espero y me puedan ayudar nuevamente, con este malware.

Recientemente tube problemas en mi pc, asi q procedi a analizarla con Elistara y no encontro nada, despues con McAfee de igual forma no encontro nada, asi q procedi a analizar mi pc con Elitriip, y encontro un archivo (ndisio.sys) el cual elinimo, pero da la casualidad que existia una reinfeccion, y volvia a detectarlo y a eliminarlo, y fue cuando me di cuenta del problema de reinfección. Asi q les pido ayuda para doder eliminarlo, a continuacion, agrego la informacion del fichero InfoSat.txt a partir del problema. Asi como la muestra del archivo infectado por correo.

De antemano muchas gracias.

Mon Aug 18 20:35:44 2008
EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7578
Nº Total de Ficheros: 105290
Nº de Ficheros Analizados: 38859
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Aug 18 20:45:36 2008
EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Exploración):
Explorando Unidad I:\

Nº Total de Directorios:   14
Nº Total de Ficheros:      266
Nº de Ficheros Analizados: 2
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Aug 18 20:45:41 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   888
Nº Total de Ficheros:      16957
Nº de Ficheros Analizados: 1065
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Aug 18 20:46:11 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   342
Nº Total de Ficheros:      4857
Nº de Ficheros Analizados: 650
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Aug 18 20:47:25 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios:   2590
Nº Total de Ficheros:      31093
Nº de Ficheros Analizados: 1605
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Aug 19 11:34:34 2008
EliLeslie v1.1  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Aug 19 11:34:38 2008
EliLeslie v1.1  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Tue Aug 19 11:53:16 2008
EliLeslie v1.1  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

	  Tue Aug 19 11:54:05 2008
EliLeslie v1.1  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

	  Tue Aug 19 11:55:18 2008
EliLeslie v1.1  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

	  Tue Aug 19 14:41:18 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Aug 19 14:41:21 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

Nº Total de Directorios:   7612
Nº Total de Ficheros:      105853
Nº de Ficheros Analizados: 37509
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Tue Aug 19 15:26:22 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   890
Nº Total de Ficheros:      16983
Nº de Ficheros Analizados: 1260
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Aug 19 15:30:33 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   342
Nº Total de Ficheros:      4857
Nº de Ficheros Analizados: 816
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Aug 19 15:36:16 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios:   2590
Nº Total de Ficheros:      31111
Nº de Ficheros Analizados: 1557
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Aug 19 15:37:18 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

Nº Total de Directorios:   7613
Nº Total de Ficheros:      105877
Nº de Ficheros Analizados: 37509
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Tue Aug 19 15:46:49 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Aug 19 15:46:51 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

Nº Total de Directorios:   7612
Nº Total de Ficheros:      105876
Nº de Ficheros Analizados: 37509
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Tue Aug 19 16:27:37 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Aug 19 16:27:38 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

Nº Total de Directorios:   7607
Nº Total de Ficheros:      105874
Nº de Ficheros Analizados: 37507
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Tue Aug 19 17:14:16 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Aug 19 17:14:20 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

Nº Total de Directorios:   7607
Nº Total de Ficheros:      105875
Nº de Ficheros Analizados: 37508
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Tue Aug 19 18:24:48 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Aug 19 18:24:49 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

Nº Total de Directorios:   7607
Nº Total de Ficheros:      106229
Nº de Ficheros Analizados: 37536
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Tue Aug 19 18:37:47 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Aug 19 18:37:53 2008
EliTriIP v5.03  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

Nº Total de Directorios:   7606
Nº Total de Ficheros:      106227
Nº de Ficheros Analizados: 37534
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

kalinkimo · Mensaje por **kalinkimo** » 20 Ago 2008, 02:50

He enviado la muestra desde el foro, espero y llegue sin problemas.

Si necesitan alguna informacion extra pidanmela.

Gracias.

Mensaje por **lucl** » 20 Ago 2008, 08:13

Ve a la dirección que te dice elitriip, C:\WINDOWS\system32\drivers\ndisio.sys y cambia el sys por .VIR renombrado con el botón derecho del ratón, así no dará la lata mientras te analizamos la muestra ademas peganos log de hijackthis que veamos las claves que tienes, saludos

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

Mensaje por **msc hotline sat** » 21 Ago 2008, 08:52

Pues este es un virus tipicamente propagado por MSN, pero parece que tiene una variante no controlada con un dropper que lo regenera tras haberlo eliminado...

Analizaremos el fichero que nos envía, pero será tanto o mas importante el que nos postee el log HJT pedido por lucl, ya que trataremos con ello encontrar dicho dropper ...

Mientras, puede bloquear la regeneración de dicho ndisio.sys creando una carpeta con dicho nombre tras haber eliminado con el ELITRIIP el malware que ya conocemos: C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

Pues antes de reiniciar, y tras haberlo eliminado, cree en esta carpeta C:\WINDOWS\system32\drivers\ una nueva y la renombra como NDISIO.SYS , de modo que no pueda regenerarse el malware con dicho nombre, al estar ocupado por el de la carpeta.

A ver si asi logramos que pueda trabajar normalmente mientras buscamos la solucion definitiva.

Recordamos las caracteristicas de este NDISIO.SYS:

Archivo ndisio.sys generado por troyano Win32/IRCBot.AAH

El troyano win32/IRCBot.AAH, se transmite la mayoria de las veces en los archivos enviados por messenger, no hay que confiarse si le envian fotos en un archivo comprimido zip o rar, si el pc desde el que envian los archivos esta infectado probablemente se camufle dentro del zip, si el remitente es de confianza revise el archivo con un antivirus actualizado antes de abrirlo.
Este troyano genera un archivo llamado ndisio.sys que es el causante del pantallazo de error y se encuentra en C:\WINDOWS\system32\drivers
Precaución: No confundir con ndisuio.sys que es un archivo del sistema: "ndisuio.sys es un proceso que pertenece al NDIS User Mode I/O (NDISUIO) NDIS protocol driver que ofrece la ayuda para los dispositivos inalámbricos tales como Bluetooth y similares a el . Este programa es importante para el funcionamiento estable y seguro de su ordenador y no debe ser terminado".

PD:
Paralelamente y dado que puede haber claves del malware no visibles en dicho log, lance este AV ONLINE y posteenos el informe resultante: SOLO TESTEO AV ONLINE

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

saludos
ms, 21 de Agosto de 2008

kalinkimo · Mensaje por **kalinkimo** » 22 Ago 2008, 06:40

Hola =)

primeramente disculpas por no haber posteado los informes rapidamente, una disculpa.

Bueno, aqui esta el informe de resultados despues de analizar mi pc con la aplicacion de AV ONLINE.

KASPERSKY ONLINE SCANNER INFORME

jueves, 21 de agosto de 2008 23:21:21

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 21/08/2008

Registros en la base antivirus: 998425

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\

G:\

H:\

Estadísticas

Número de objeros analizados 183529

Virus encontrados 13

Objetos infectados 27 / 0

Objetos sospechosos 6

Duración del análisis 08:56:23

Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Archivos comunes\Adobe\Adobe PCD\pcd.db Object is locked saltado

C:\Archivos de programa\Archivos comunes\Adobe\caps\caps.db Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\nightmare_sea@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\nightmare_sea@hotmail.com\SharingMetadata\pending.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\nightmare_sea@hotmail.com\SharingMetadata\Working\database_147B_6CE8_9478_92D9\dfsr.db Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\nightmare_sea@hotmail.com\SharingMetadata\Working\database_147B_6CE8_9478_92D9\fsr.log Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\nightmare_sea@hotmail.com\SharingMetadata\Working\database_147B_6CE8_9478_92D9\fsrtmp.log Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\nightmare_sea@hotmail.com\SharingMetadata\Working\database_147B_6CE8_9478_92D9\tmp.edb Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\nightmare_sea@hotmail.com\real\members.stg Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\nightmare_sea@hotmail.com\shadow\members.stg Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012008082120080822\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Mis documentos\virus\jwxdosq.zip/jwxdosq.exe Sospechosos: Password-protected-EXE saltado

C:\Documents and Settings\Administrador\Mis documentos\virus\jwxdosq.zip ZIP: sospechoso - 1 saltado

C:\Documents and Settings\Administrador\Mis documentos\virus\pcr.zip/pcr.exe Sospechosos: Password-protected-EXE saltado

C:\Documents and Settings\Administrador\Mis documentos\virus\pcr.zip ZIP: sospechoso - 1 saltado

C:\Documents and Settings\Administrador\Mis documentos\virus\windowsmsnlive.zip/windowsmsnlive.exe Sospechosos: Password-protected-EXE saltado

C:\Documents and Settings\Administrador\Mis documentos\virus\windowsmsnlive.zip ZIP: sospechoso - 1 saltado

C:\Documents and Settings\Administrador\Mis documentos\€liStarA\ELISTARA 16.17.EXE Infectados: Trojan-Downloader.Win32.IstBar.sr saltado

C:\Documents and Settings\Administrador\Mis documentos\€liStarA\ELISTARA 16.28.EXE Infectados: Trojan-Downloader.Win32.IstBar.tg saltado

C:\Documents and Settings\Administrador\Mis documentos\€liStarA\ELISTARA 16.68.EXE Infectados: Trojan-Downloader.Win32.IstBar.vg saltado

C:\Documents and Settings\Administrador\Mis documentos\€liStarA\ELISTARA.31092007.EXE Infectados: Trojan-Downloader.Win32.IstBar.rg saltado

C:\Documents and Settings\Administrador\Mis documentos\€liStarA\ELISTARA.BEEBH.EXE Infectados: Trojan-Downloader.Win32.IstBar.tg saltado

C:\Documents and Settings\Administrador\Mis documentos\€liStarA\EliStarA.exe Infectados: Trojan-Downloader.Win32.IstBar.rj saltado

C:\Documents and Settings\Administrador\ntuser.dat Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\McAfee\MNA\NAData Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\McAfee\MSC\Logs\Events.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\McAfee\MSC\Logs\{26714957-1DA6-4CCA-8A0A-9D30EC0B1A6E}.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\McAfee\MSC\Logs\{7DCB3B8D-99D5-40E3-9ADC-BE08915A6657}.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\McAfee\MSC\McUsers.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\McAfee\VirusScan\Data\TFR7.tmp Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\McAfee\VirusScan\Logs\OAS.Log Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\RECYCLER\S-1-5-21-1220945662-117609710-343818398-500\Dc2.exe Infectados: Trojan-Dropper.Win32.KGen.dbf saltado

C:\RECYCLER\S-1-5-21-1220945662-117609710-343818398-500\Dc3.exe Infectados: Trojan-Dropper.Win32.KGen.dbf saltado

C:\RECYCLER\S-1-5-21-1220945662-117609710-343818398-500\Dc5.EXE Infectados: Trojan-Downloader.Win32.IstBar.vl saltado

C:\RECYCLER\S-1-5-21-1220945662-117609710-343818398-500\Dc6\autorun.inf Infectados: Trojan-PSW.Win32.OnLineGames.wgi saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{400B184E-24E8-4071-A5C7-A912974A48D4}\RP77\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\jabx.dll Infectados: Trojan.Win32.BHO.gbn saltado

C:\WINDOWS\system32\jadz.dll Infectados: Trojan.Win32.BHO.gbn saltado

C:\WINDOWS\system32\jcbt.dll Infectados: Trojan.Win32.BHO.gbn saltado

C:\WINDOWS\system32\pcdz.dll Infectados: Trojan.Win32.BHO.gbn saltado

C:\WINDOWS\system32\ssbt.dll Infectados: Trojan.Win32.BHO.gbn saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\hpotdd004.log Object is locked saltado

C:\WINDOWS\Temp\mcmsc_hkhBSOXzyYjAvjl Object is locked saltado

C:\WINDOWS\Temp\mcmsc_Jt81Uic2BE3P1e3 Object is locked saltado

C:\WINDOWS\Temp\mcmsc_KYxxIXAXKLwatwr Object is locked saltado

C:\WINDOWS\Temp\mcmsc_Xfxa1hkEY4PdOFY Object is locked saltado

C:\WINDOWS\Temp\mcmsc_zjO9se2E8ldkfPY Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_dc0.dat Object is locked saltado

C:\WINDOWS\Temp\~DF13B9.tmp Object is locked saltado

C:\WINDOWS\Temp\~DF13C3.tmp Object is locked saltado

C:\WINDOWS\Temp\~DF370E.tmp Object is locked saltado

C:\WINDOWS\Temp\~DF4C7.tmp Object is locked saltado

C:\WINDOWS\Temp\~DF4CF.tmp Object is locked saltado

C:\WINDOWS\Temp\~DF7E6B.tmp Object is locked saltado

C:\WINDOWS\Temp\~DF7E6C.tmp Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

E:\System Volume Information\_restore{400B184E-24E8-4071-A5C7-A912974A48D4}\RP69\A0027883.exe Infectados: Backdoor.Win32.Agent.obl saltado

F:\DJ'S\FL STUDIO 8\AIO_FL_STUDIO8_2_by_Ceoneblog.tk\AIO FL STUDIO 8\Plugins\Image Line Poizone v2.02\poizone_install.exe/stream/data0010 Infectados: Trojan-Downloader.Win32.Adload.qz saltado

F:\DJ'S\FL STUDIO 8\AIO_FL_STUDIO8_2_by_Ceoneblog.tk\AIO FL STUDIO 8\Plugins\Image Line Poizone v2.02\poizone_install.exe/stream Infectados: Trojan-Downloader.Win32.Adload.qz saltado

F:\DJ'S\FL STUDIO 8\AIO_FL_STUDIO8_2_by_Ceoneblog.tk\AIO FL STUDIO 8\Plugins\Image Line Poizone v2.02\poizone_install.exe NSIS: infectado - 2 saltado

F:\Mp3 01\PSY TRANCE\SPACE BUDDHA\space buddha Jungle of Whishes [2002].zip/Setup.exe Infectados: P2P-Worm.Win32.Kapucen.b saltado

F:\Mp3 01\PSY TRANCE\SPACE BUDDHA\space buddha Jungle of Whishes [2002].zip ZIP: infectado - 1 saltado

F:\00 Install\€liStarA\ELISTARA.31092007.EXE Infectados: Trojan-Downloader.Win32.IstBar.rg saltado

F:\00 Install\€liStarA\EliStarA.exe Infectados: Trojan-Downloader.Win32.IstBar.rj saltado

F:\00 Install\€liStarA\ELISTARA.BEEBH.EXE Infectados: Trojan-Downloader.Win32.IstBar.tg saltado

F:\00 Install\€liStarA\ELISTARA 16.28.EXE Infectados: Trojan-Downloader.Win32.IstBar.tg saltado

F:\00 Install\€liStarA\ELISTARA 16.17.EXE Infectados: Trojan-Downloader.Win32.IstBar.sr saltado

F:\00 Install\€liStarA\ELISTARA 16.68.EXE Infectados: Trojan-Downloader.Win32.IstBar.vg saltado

Análisis completado.

cabe mencionar que de los ficheros encontrados como sospechosos en la ubicacion

C:\Documents and Settings\Administrador\Mis documentos\virus\

son los archivos de muestra de virus que estan en ficheros zip, que he olvidado borrar.

espero mas indicaciones.

por su ayuda gracias.

saludos.

kalinkimo · Mensaje por **kalinkimo** » 22 Ago 2008, 07:00

Ahoro pongo el informe creado por HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 23:56:44, on 21/08/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe

C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Mis documentos\€liStarA\Hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: WormRadar.com - {CEAF8FFD-A61C-46EF-A970-D77D90246918} - C:\WINDOWS\system32\pcdz.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Archivos de programa\Save Flash\SaveFlash.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\Run: [mmtask] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [SiteAdvisor] "C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [IDMan] C:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Descargar con IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Descargar con IDM el contenido de video FLV - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Descargar con IDM todos los enlaces - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

Gracias por la ayuda y atencios brindada.

Saludos.

Espero indicaciones =)

Mensaje por **msc hotline sat** » 22 Ago 2008, 10:33

De entrada, en el informe del AV ONLINE, vemos estos ficheros infectados y en activo:

C:\WINDOWS\system32\~~[b]~~[i]jabx.dll[/i][/b] Infectados: Trojan.Win32.BHO.gbn saltado

C:\WINDOWS\system32\~~[b]~~[i]jadz.dll[/i][/b] Infectados: Trojan.Win32.BHO.gbn saltado

C:\WINDOWS\system32\~~[b]~~[i]jcbt.dll[/i][/b] Infectados: Trojan.Win32.BHO.gbn saltado

C:\WINDOWS\system32\~~[b]~~[i]pcdz.dll[/i][/b] Infectados: Trojan.Win32.BHO.gbn saltado

C:\WINDOWS\system32\~~[b]~~[i]ssbt.dll[/i][/b] Infectados: Trojan.Win32.BHO.gbn saltado

F:\DJ'S\FL STUDIO 8\AIO_FL_STUDIO8_2_by_Ceoneblog.tk\AIO FL STUDIO 8\Plugins\Image Line Poizone v2.02\~~[b]~~[i]poizone_install.exe[/i][/b]/stream/data0010 Infectados: Trojan-Downloader.Win32.Adload.qz saltado

F:\DJ'S\FL STUDIO 8\AIO_FL_STUDIO8_2_by_Ceoneblog.tk\AIO FL STUDIO 8\Plugins\Image Line Poizone v2.02\~~[b]~~[i]poizone_install.exe[/i][/b]/stream Infectados: Trojan-Downloader.Win32.Adload.qz saltado

F:\DJ'S\FL STUDIO 8\AIO_FL_STUDIO8_2_by_Ceoneblog.tk\AIO FL STUDIO 8\Plugins\Image Line Poizone v2.02\~~[b]~~[i]poizone_install.exe[/i][/b] NSIS: infectado - 2 saltado

Son .DLL y .EXE, renombre su extension a .VIR y asi ya no se cargarán a partir del proximo reinicio.

aparte vaciar la papelera y eliminar los ELISTARA antiguos y dejar solo el último, v 16.84 !!!

Tras analizar los ficheros que nos envie, implementaremos su control y eliminacion en nuestras utilidades, con lo que se eliminarán las claves y ficheros renombrados a .VIR.

Ahora bien, los .ZIP infectados que indicaba, igual que este otro, eliminelos directamente:

F:\Mp3 01\PSY TRANCE\SPACE BUDDHA\~~[b]~~[i]space buddha Jungle of Whishes [2002].zip[/i][/b]/Setup.exe Infectados: P2P-Worm.Win32.Kapucen.b saltado

Tras ello reinicie y vea que de momento el problema está aparcado

saludos

ms, 23 de Agosto de 2008

NOTA: Solo hay este fichero del RESTORE que deberá eliminar con su antivirus, arrancando en modo seguro y desactivando la restauracion de sistema:

E:\System Volume Information\_~~[b]~~[i]restore[/i][/b]{400B184E-24E8-4071-A5C7-A912974A48D4}\RP69\A0027883.exe Infectados: Backdoor.Win32.Agent.obl

aunque ya no está activo y solo si se restaurara a una fecha anterior podría reactivarse. ms.

Mensaje por **msc hotline sat** » 22 Ago 2008, 10:47

y del examen del log del HJT, vemos que tiene estas dos claves que ha de eliminar:

O2 - BHO: WormRadar.com - {CEAF8FFD-A61C-46EF-A970-D77D90246918} - C:\WINDOWS\system32\pcdz.dll

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/v ... .2.4.1.cab

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 23 de Agosto de 2008

kalinkimo · Mensaje por **kalinkimo** » 23 Ago 2008, 01:17

Hola.

He realizado todas la indicaciones que me han mencionadon (renombrar las extenciones de los archivos, borrar los zip, asi como eliminar las claves con HJT) y tambien envie las muestras de los archivos infectados.

Espero indicaciones.

Gracias por todo.

Saludos.

:D

Mensaje por **msc hotline sat** » 23 Ago 2008, 06:04

Pues ahora diganos si tras reinciar persiste alguna anomalia o ya se han solucionado con lo hecho... ???

saludos

ms, 24 de Agosto de 2008

kalinkimo · Mensaje por **kalinkimo** » 23 Ago 2008, 18:58

Hola =)

Precisamente es lo que hiba a comentar, anteriormente me habian dicho que cambiara la extención del fichero ndisio.sys a ndisio.vir, pero no lo hice, ya que posteriormente realize los cambios de borrar archivos zip, cambiar las extenciones a los archivos .dll y .exe, asi como borran las claves con HJT, con lo cual el problema desaparecio, (nunca mensione que el problema es que al usar windows explorer o internet explorer, automaticamente te manda a una pagina que te da la opcion de descargar un archivo el cual es un virus, por que asi lo indica McAfee, esto pasa cada que habres una nueva pagina en internet o al explorar una carpeta), bueno esto desaparecio, pero cuando recorde que tenia que cambiar la extencion del archivo ndisio de SYS a VIR, lo hice y procedi a analizar con Elitriip, el cual ahoro mostro dos archivos infectados ahora el, ndisio.sys (nuevamente) y ademas el ndisio.vir lo cual hizo que el problema regresara, apage mi equipo volvi a realizar el analisis, y ahora solo aparecio un archivo infectado que es nuevamente el ndisio.sys, pero el problema sigue persistiendo.

A continuacion agrego los informes de analisis de elitriip, y de HJT (el logfile es en modo normal, me indican si necesitan el de modo a pruebas de errores) por si son utiles, en lo que estoy explicando.

Fri Aug 22 20:00:40 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Aug 22 20:00:41 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

C:\WINDOWS\system32\drivers\ndisio.VIR --> Eliminado, Malware.Ndisio

Nº Total de Directorios: 7613

Nº Total de Ficheros: 106888

Nº de Ficheros Analizados: 37554

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Sat Aug 23 11:47:11 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sat Aug 23 11:47:14 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

Nº Total de Directorios: 7611

Nº Total de Ficheros: 106830

Nº de Ficheros Analizados: 37553

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

-------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 11:42:41, on 23/08/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\Administrador\Mis documentos\€liStarA\Hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IE Story - {A83359CE-23D4-4E1A-9D4E-C94AEDD1A67C} - C:\WINDOWS\system32\hsyi.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Archivos de programa\Save Flash\SaveFlash.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\Run: [mmtask] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [SiteAdvisor] "C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

Espero indicaciones.

Gracias por la ayuda q me han estado brindando=)

Saludos.

Mensaje por **msc hotline sat** » 23 Ago 2008, 19:54

Este fichero es muy sospechoso:

C:\WINDOWS\system32\hsyi.dll

renombra su extension a .VIR y subelo al VirusTotal , https://www.virustotal.com/es/ , y nos posteas el informe resultante

Ademas, envianoslo para analizar e implementar su control y eliminacion, si procede, en nuestras utilidades.

saludos

ms, 23 de Agosto de 2008

kalinkimo · Mensaje por **kalinkimo** » 23 Ago 2008, 20:21

Hola.

Ya he cambiado la extencion a vir.

Ya les envie el archivo.

Y aqui esta el resulatdo del analisis

Análisis del archivo hsyi.vir recibido el 23.08.2008 20:12:15 (CET)

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.8.21.0 2008.08.22 -

AntiVir 7.8.1.23 2008.08.23 ADSPY/Bho.jku.53248

Authentium 5.1.0.4 2008.08.23 W32/Adware-RegBHO-based.1!Maximus

Avast 4.8.1195.0 2008.08.22 -

AVG 8.0.0.161 2008.08.23 BHO.FGT

BitDefender 7.2 2008.08.23 -

CAT-QuickHeal 9.50 2008.08.22 -

ClamAV 0.93.1 2008.08.23 Trojan.BHO-3678

DrWeb 4.44.0.09170 2008.08.23 Trojan.BhoSearcher.6

eSafe 7.0.17.0 2008.08.21 -

eTrust-Vet 31.6.6040 2008.08.22 -

Ewido 4.0 2008.08.23 -

F-Prot 4.4.4.56 2008.08.23 W32/Adware-RegBHO-based.1!Maximus

F-Secure 7.60.13501.0 2008.08.23 Trojan.Win32.BHO.geh

Fortinet 3.14.0.0 2008.08.23 W32/FakeVir.E!tr

GData 2.0.7306.1023 2008.08.20 -

Ikarus T3.1.1.34.0 2008.08.23 Trojan-Downloader.Win32.Renos.DG

K7AntiVirus 7.10.427 2008.08.23 -

Kaspersky 7.0.0.125 2008.08.23 Trojan.Win32.BHO.geh

McAfee 5368 2008.08.22 -

Microsoft 1.3807 2008.08.23 TrojanDownloader:Win32/Renos.DG

NOD32v2 3382 2008.08.23 Win32/Adware.IeDefender.NGU

Norman 5.80.02 2008.08.22 -

Panda 9.0.0.4 2008.08.23 -

PCTools 4.4.2.0 2008.08.23 -

Prevx1 V2 2008.08.23 Cloaked Malware

Rising 20.58.52.00 2008.08.23 -

Sophos 4.32.0 2008.08.23 Mal/FakeVir-E

Sunbelt 3.1.1575.1 2008.08.23 -

Symantec 10 2008.08.23 Trojan.Fakeavalert

TheHacker 6.3.0.6.060 2008.08.23 -

TrendMicro 8.700.0.1004 2008.08.23 TROJ_ZLOB.EXT

VBA32 3.12.8.4 2008.08.23 -

ViRobot 2008.8.22.1346 2008.08.22 -

VirusBuster 4.5.11.0 2008.08.23 -

Webwasher-Gateway 6.6.2 2008.08.23 Trojan.Drop.BHO.78347

Información adicional

Tamano archivo: 53248 bytes

MD5...: f6a2a59a84cd7d3bb109ad6acdd7ba39

SHA1..: c0dc3e9ee183fbe659830d8b65791f6dd993e668

SHA256: a221c8b0bdbce003df66f7bed5236b304980f70a297ee85c56f94ed1dac67c9d

SHA512: f1d2239da5562e1f8a9fb089077288d1c0bed0908bd669a5638e97a6c874bcdd 0bfc48b1be2a77837f984465f4a50bb17ca34291f1e0f97ac49f14451ebf3d7b

PEiD..: Armadillo v1.xx - v2.xx

PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10006a7d timedatestamp.....: 0x48ade848 (Thu Aug 21 22:12:24 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5b20 0x6000 5.60 103b70b5d2bd70d7b52b4d883d1edf46 .rdata 0x7000 0xa73 0x1000 4.16 5763891c57cfc46d768bb23704cd3775 .data 0x8000 0xe1488 0x1000 0.95 e3a26dafeead5d206c8959d61bea193a .rsrc 0xea000 0x21f8 0x3000 2.19 3145291372cc05dbe52cfe17d91a001e .reloc 0xed000 0xc42 0x1000 1.76 a155c8d1eea9e3b617e830d6805c7e60 ( 7 imports ) > KERNEL32.dll: WideCharToMultiByte, GetModuleFileNameA, DisableThreadLibraryCalls, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, lstrlenW, HeapDestroy, lstrlenA, GetShortPathNameA, FreeLibrary, GetProcAddress, LoadLibraryA, lstrcatA, lstrcpyA, MultiByteToWideChar, InterlockedDecrement, CloseHandle > USER32.dll: CharNextA, MessageBoxA > ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > SHELL32.dll: ShellExecuteA > ole32.dll: CoCreateInstance > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, - > MSVCRT.dll: _adjust_fdiv, _initterm, _stricmp, free, memcmp, _purecall, memcpy, malloc, strcat, rand, strstr, __2@YAPAXI@Z, __3@YAXPAX@Z, strcpy, strlen ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer 

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=2A4957C000F81CD4D03200BB4110BB00394314EB

Gracias.

Espero indicaciones.

Saludos.

Mensaje por **msc hotline sat** » 23 Ago 2008, 20:44

Pues con lo que vemos que detectó y eliminó el ELITRIIP:

Fri Aug 22 20:00:41 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

C:\WINDOWS\system32\drivers\ndisio.VIR --> Eliminado, Malware.Ndisio

y este fichero que ya hemos "aparcado" al renombrarlo a .VIR, cabe eliminar esta clave del registro:

O2 - BHO: IE Story - {A83359CE-23D4-4E1A-9D4E-C94AEDD1A67C} - C:\WINDOWS\system32\hsyi.dll

y si tras probar de nuevo èl ELITRIIP y elminar el ndisio.sys que seguramente se habrá regenerado, reiniciar y ver si ya no se regenera, en cuyo caso era la clave eliminada y su fichero la que lo regeneraba.

Si vuelve a aparecer, entonces en lugar del HJT posteenos el log generado por el SPROCES que es mas exhaustivo y llega m,as a fondo, a ver si vemos algo mas:

[quote="msc escribió"]
~~[b]~~SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.

saludos

ms, 23 de Agosto de 2008

NOTA: Si no se encontrara la clave causante, se podría renombrar del ndisio.sys a .vir y tras ello crear la carpeta ndisisio.sys para que asi no pudiera regererar el fichero con dicho nombre, al estar ocupado por la carpeta, y asi no incordiaría mientras buscaramos el causante. ms.

kalinkimo · Mensaje por **kalinkimo** » 26 Ago 2008, 21:55

Hola.

He eliminado la clave con HJT pero cuando volvi a pasar elitriip aparecio de nuevo el fichero infectado.

Acontinuacion pongo los informes de elitriip, HJT y SProces

Logfile of HijackThis v1.99.1

Scan saved at 14:42:34, on 26/08/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

C:\WINDOWS\Explorer.EXE

c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe

c:\ARCHIV~1\mcafee\msc\mcuimgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Documents and Settings\Administrador\Mis documentos\€liStarA\Hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Archivos de programa\Save Flash\SaveFlash.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\Run: [mmtask] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [SiteAdvisor] "C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

Tue Aug 26 14:44:38 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Aug 26 14:44:39 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\ndisio.sys --> Eliminado, Malware.Ndisio

Nº Total de Directorios: 7565

Nº Total de Ficheros: 109564

Nº de Ficheros Analizados: 37862

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Tue Aug 26 14:29:52 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCMSCSVC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIV~1\MCAFEE.COM\AGENT\MCAGENT.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCUIMGR.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\€LISTARA\SPROCES\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan\scriptsn.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Archivos de programa\Save Flash\SaveFlash.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\Run: [mmtask] "C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [SiteAdvisor] "C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O18 - Protocol hijack: http - (no CLSID) - (no file)

O18 - Protocol hijack: https - (no CLSID) - (no file)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

**O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

*O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6261\SAService.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Creative Audio Driver (WDM) (ctaud2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctaud2k.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO/1000 Adapter Driver (E1000) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1000325.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Creative Hardware Abstract Layer Driver (ha10kx2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ha10kx2k.sys

**O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Inc. mfeavfk (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. mfebopk (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. mferkdk (mferkdk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdk.sys

O23 - Service: McAfee Inc. mfesmfk (mfesmfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfesmfk.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctoss2k.sys

O23 - Service: Service (Passthru) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ndisio.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Intel (R) System Managment BIOS Service (SMBios) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SMBios.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: 3Com 3CRDAG675 Wireless LAN PCI Adapter (WLD675) - 3Com Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wld675f.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

30 Servicios.

9 de Carga Automatica.

19 de Carga Manual.

2 Deshabilitados.

No realize la operacion de crear la carpeta ndisio.sys, ustedes me indican si lo realizo.

Espero indicaciones

Gracias por todo.

Saludos.

Mensaje por **msc hotline sat** » 27 Ago 2008, 05:59

AL principio de tu ultimo post dices:

[quote]He eliminado la clave con HJT pero cuando volvi a pasar elitriip aparecio de nuevo el fichero infectado.[/quote]

y al final comentas:

[quote]No realize la operacion de crear la carpeta ndisio.sys, ustedes me indican si lo realizo.[/quote]

pues para que te crees que te indicabamos crear la carpeta con dicho nombre, tras haber eliminado el fichero con el ELITRIIP ??? Para que no se pudiera volver a crear el dichoso NDISIO.SYS !!!

Pero si no haces caso...

Tambien puedes eliminar la clave:

O23 - Service: Service (Passthru) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ndisio.sys

aunque supongo que algo te la volverá a crear...

Lo importante es lo indicado arriba, pues aunque haya la clave, si no hay el fichero, no sirve de nada ! Tras pasar de nuevo el ELITRIIP, antes de reiniciar, crea la carpeta !!!

saludos

ms, 27 de Agosto de 2008

Malware ndisio.sys AYUDA!!!!!

Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!

Re: Malware ndisio.sys AYUDA!!!!!