Solicito ayuda por posible nuevo virus (SOLUCIONADO)

[guepardos3]

Bueno, un saludo a todos. Soy nuevo en este for y he acudido a él al encontrar una psible infección de mi pc. Soy un obseso de la seguridad y mis conocimientos en pc's no son grandes (puede que si me pedís que haga alguna cosa, temo que quizás no sepa a qué os referís), pero haré todo cuant pueda, a fin de liberar mi pc de esa infección.

Tengo que decir que no me funciona mal del todo, pero si noto que internet va algo lento para los 6 mb que se supone que tengo por cable de ONO.

También tengo que decir que tengo instalados con protección residente el NOD32 v.2.70.26 y el AVG anti-spyware v.7.5.1.43, y también sin sus programas residentes y que a menudo analizo con ellos, el Spybot v.1.6.0.31, el Malwarebytes' anti-malware v.1.25, el Ad-Aware 2008 v.7.1.0.10 y otro que solo uso cuando me acuerdo es el Spyware Blaster v.4.1. Firewall el de Windows. Todos ellos actualizados.

Hasta ahora confiaba bastante en ellos y bueno, creo que no han llegado a defraudarme del todo, pues me han dectectado varias amenazas, pero que no consiguen de eliminar. El que más detectó, el Malwarebytes.

Todo empezó con una ventana de aviso del NOD32, la cual me informaba de un supuesto agente troyano, al intentar crear el archivo C:\Windows\system32\g76.exe un nuevo archivo, el C:\windows\system32\rcntmtdl.exe.

Lo que me llevó a analizar con todo lo que tenía, sacar un log del Hijackthis v.2.0.2 y hacer un Fix Checked de algunas entradas sospechosas y que podrían estar relacionadas con cuanto me fue detectado por todos esos programas de seguridad. Solo conseguí reducir mínimamente el número de infecciones detectadas. He borrado cuantos archivos y entradas sospechosas me detectaron, y tras reiniciar el pc, la mayor parte de ellas volvían a ser generadas, por lo que nuevamente eran detectadas. Archivos generalmente del directorio C:\windows\system32 (como el gside.exe, rcntmtdl.exe, zxdnt3d.cfg, winpfz33.sys, msnav32.ax y el iyghumghhio.dll)



Como veo que soleis pedir log de los programas, adjunto los que he conseguido después de hacer todo cuanto pude, tanto en modo a prueba de errores como en modo de inicio normal:

***********************************************************************************************************************************************

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:52:18, on 09/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe



--

End of file - 3838 bytes

***********************************************************************************************************************************************

--- Spybot - Search & Destroy version: 1.6.0 (build: 20080729) ---



--- Search result list ---

Hint of the Day: Click the bar at the right of this to see more information! ()





Common Dialogs: History (5 files) (Clave del registro, nothing done)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU



Log: Activity: SchedLgU.Txt (Archivo de repuesto, nothing done)

C:\WINDOWS\SchedLgU.Txt



Log: Shutdown: System32\wbem\logs\wbemess.log (Archivo de repuesto, nothing done)

C:\WINDOWS\System32\wbem\logs\wbemess.log



Log: Shutdown: System32\wbem\logs\wmiprov.log (Archivo de repuesto, nothing done)

C:\WINDOWS\System32\wbem\logs\wmiprov.log



Windows.OpenWith: [SBI $691C1B44] Open with list - .BIN extension (2 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1454471165-2147221463-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BIN\OpenWithList



Windows Explorer: [SBI $2026AFB6] User Assistant history IE (5 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1454471165-2147221463-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count



Windows Explorer: [SBI $6107D172] User Assistant history files (38 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1454471165-2147221463-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count



Windows Explorer: [SBI $B7EBA926] Last visited history (3 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1454471165-2147221463-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU



Windows Explorer: [SBI $D20DA0AD] Recent file global history (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1454471165-2147221463-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs



History: [SBI $49804B54] Historial (3) (Historial, nothing done)



¡Felicidades!: No se ha encontrado ningún robot espía. ()

***********************************************************************************************************************************************

Malwarebytes' Anti-Malware 1.25

Versión de la Base de Datos: 1083

Windows 5.1.2600 Service Pack 2



2:17:10 09/09/2008

log malwarebytes



Tipo de examen : Examen Completo (C:\|D:\|)

Objetos examinados: 114327

Tiempo transcurrido: 23 minute(s), 14 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 1

Valores del Registro Infectados: 4

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 4



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Deewoo Network Manager (Adware.Radio) -> No action taken.



Valores del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

C:\WINDOWS\system32\winpfz33.sys (Malware.Trace) -> No action taken.

C:\WINDOWS\system32\zxdnt3d.cfg. (Adware.ZenoSearch) -> No action taken.

C:\WINDOWS\system32\msnav32.ax (Malware.Trace) -> No action taken.

C:\WINDOWS\system32\zxdnt3d.cfg (Malware.Trace) -> No action taken.

***********************************************************************************************************************************************



He buscado en la web alguna información sobre el archivo detectado por el NOD32, el g76.exe, pero no hay apenas referencias, lo que me hace pensar que podría ser algún troyano nuevo (y digo troyano porque es lo que más me salió en el log del Malwarebytes, no porque yo lo sepa).



Hace podo recibí un correo por el cual un compañero me advertía de la aparición de un nuevo virus por e-mail, que llegaba como "invitación al hi 5" y que lo podría recibir por correo de alguna persona conocida. Aquel mismo día mi hija me pidió que observara un correo recibido de una prima suya, era un correo como del que fui alertado, por lo que no lo abrí y lo borré directamente, pero no creo que fuera eso.



Por favor, si alguien puede echarme una mano lo agradecería, antes de tener que formatear todo el pc. Un saludo.

[msc hotline sat]

Pues al eliminar los ficheros sospechosos en lugar de enviarnoslos para analizar, ha quemado sus naves, y no hay pistas que podamos usar para pedirle otros ficheros y monitorizarlos para ver lo que hacen ...



El log del HJT actual está limpio.



Por si hubiere algun residuo virico, lance este AV ONLINE y posteenos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)



saludos



ms, 9-09-2008

[guepardos3]

Gracias por atenderme tan pronto "msn hotline sat":



En estos días me pillas trabajando y no puedo dedicarle al pc más que algunos ratos libres, por lo que puedo demorarme un poquitín en mis respuestas, hasta que termine el turno.



Mientras recibí contestación, ayer noche me dediqué a buscar archivos infectados y eliminarlos. Esta mañana ya el Malwarebytes ant-malware no me detectó nada, pasé el Panda active scan on line y me encontró tres en el dwwnw64r.exe, el rnwnw64l.exe y el rcntmtdll.exe, todos ellos en la carpeta C:\Windows\system32\, así como el C:\Archivos de Programa\BitTorrent Fasted Tod\Dwbrk03_0308.exe, que procedí a eliminar, así como una vulnerabilidad por falta de la actualización de seguridad KB921503 que descargué de Microsoft e instalé.

Luego pasé el Symantec on line y me detectó uno que, no recuerdo cual era, pero seguro que eliminé, pues tengo la mesa llena de apuntes.



Después de eso leí tu mensaje, procediendo tal y como me dijiste y te pido disculpas por no darme cuenta que podrías pedirme copia de los archivos infectados. Lo que hice fue porque desconocía si alguien me contestaría y en prevención de que pudiera propagarse la infección. A partir de este momento estoy a tu disposición y solo procederé tal y como me indiques.



Sí he notado la aparición de una carpeta en Archivos de Programa que desconozco, tiene por nombre "Bonjour" y dentro hay una *.dll que no puedo eliminar, pese a que no me aparece como activa en el listado de procesos activos. Su nombre es "mdnsNSP.dll". También tenía sospechas del archivo "Clusap.dll".



He hecho lo que me pediste y pasé el Kaspersky on line, cuyo resultado dió el siguiente log:

KASPERSKY ONLINE SCANNER INFORME

martes, 09 de septiembre de 2008 13:11:05

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 9/09/2008

Registros en la base antivirus: 1074189

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

C:\

D:\

E:\

F:\

G:\



Estadísticas:

Número de objeros analizados: 77458

Virus encontrados: 5

Objetos infectados: 7 / 0

Objetos sospechosos: 0

Duración del análisis: 01:34:07



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\ESET\cache\FND0.NFI/keygen.exe Infectados: Trojan.Win32.Monder.gen saltado

C:\Archivos de programa\ESET\cache\FND0.NFI/patch.exe Infectados: Trojan.Win32.Obfuscated.xs saltado

C:\Archivos de programa\ESET\cache\FND0.NFI/crack.exe Infectados: Trojan-Downloader.Win32.Cryptic.ju saltado

C:\Archivos de programa\ESET\cache\FND0.NFI/install.exe Infectados: Trojan-Downloader.Win32.Small.ixj saltado

C:\Archivos de programa\ESET\cache\FND0.NFI RAR: infectado - 4 saltado

C:\Archivos de programa\ESET\cache\FND0.NFI PE-Crypt.XorPE: infectado - 4 saltado

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\MSHist012008090920080910\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\ntuser.dat Object is locked saltado

C:\Documents and Settings\Usuario\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\S26CC4A3F.tmp Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\clusap.dll Infectados: Rootkit.Win32.Podnuha.ajl saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



Análisis completado.

************************************************************************************************************************

Saludos y muchísimas gracias por tu ayuda.

[msc hotline sat]

Pues aparte de los que hay dentro de este .RAR:



C:\Archivos de programa\ESET\cache\FND0.NFI RAR



y que tiene NOD32 controlados, hay este otro vivo y coleando que ademas es Rootkit ! :





C:\WINDOWS\system32\clusap.dll



Envianos ambos ficheros para analizar y controlar, y especialmente este último cambia su extension a .VIR para que no se ponga en uso a partir del proximo reinicio





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras analizarlos, informaremos



saludos



ms, 9-09-2008

[guepardos3]

Hola de nuevo "msc hotline sat":



No estoy seguro del todo, pero seguí los pasos que me indicaste para enviarte el fichero comprimido, con los dos archivos supuestamente infectados, no sé si te ha llegado como debiera, pero de no ser así, por favor, dímelo.



Según entendí debía crear el fichero comprimido con winzip, configurado para añadir una contraseña, la cual entendí que debía ser la palabra "virus", y así es como te lo envié.



Solo que el proceso de envío me pareció muy liviano y rápido, es lo que me deja dudoso de si realmente lo hice correctamente.



Un saludo.

[msc hotline sat]

No sé como lo has hecho, pero efectivamente no ha entrado ningun mail con tu nick en la cuenta de zonavirus. Envialo de nuevo



Y efectivamente, el password debe ser virus, para que asi podamos desempaquetarlo



Y es importante que, mientras, tengas el fichero C:\WINDOWS\system32\clusap.dll renombrado a extension .VIR para que no se autoejecute en los siguientes reinicios.



Tan pronto lo hayamos analizado, informaremos



saludos



ms, 10-09-2008

[guepardos3]

Creo que ahora si os lo he enviado correctamente, tras clickear sobre "enviar muestra de virus" me salía una ventana con título:

"La página en http://www2zonavirus.como dice:",

dicha ventana exponía:

"Valida (fichero,pym_msj_fichero)"

y junto a ésto, un botón con:

"Aceptar",

el cual pulsaba y me salía de nuevo el cuestionario" y así repetidas veces, pero en esta ocasión ya he recibido una nueva ventana donde se me indicaba que el envío de la muestra se había efectuado correctamente.



Disculpa mi torpeza y gracias de nuevo.

[msc hotline sat]

Sí, han llegado pero ya vamos a cerrar, mañana las monitorizaremos



saludos



ms, 10-09-2008

[msc hotline sat]

Vaya! Al despedirse el personal y decir hasta el viernes, recuerdo que mañana es festivo en Barcelona, 11 Setiembre es la DIADA... Bueno pues se monitorizará el viernes, no mañana .



Voy a ver si preanalizo y te digo lo que es para ir aguantando mientras:



Pues el primero varios lo detectan como ROOTKIT, asi que renombra su extension a .VIR y tras reiniciar ya no entrará en uso.


[quote="VirusTotal"]
File clusap.dll received on 08.05.2008 18:34:58 (CET)

Current status: finished



Result: 13/36 (36.11%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 - - -

AntiVir - - -

Authentium - - -

Avast - - -

AVG - - BHO.O

BitDefender - - -

CAT-QuickHeal - - Rootkit.Podnuha.aab

ClamAV - - -

DrWeb - - -

eSafe - - Suspicious File

eTrust-Vet - - Win32/Kvol!generic

Ewido - - -

F-Prot - - -

F-Secure - - -

Fortinet - - -

GData - - -

Ikarus - - Virus.Trojan.Win32.Pakes.cdw

K7AntiVirus - - -

Kaspersky - - -

McAfee - - Boaxxe.dll

Microsoft - - Trojan:Win32/Boaxxe.B

NOD32v2 - - -

Norman - - W32/Rootkit.OQD

Panda - - Suspicious file

PCTools - - Rootkit.Podnuha.Gen.2

Prevx1 - - Cloaked Malware

Rising - - -

Sophos - - -

Sunbelt - - -

Symantec - - -

TheHacker - - -

TrendMicro - - PAK_Generic.005

VBA32 - - -

ViRobot - - -

VirusBuster - - Rootkit.Podnuha.Gen.2

Webwasher-Gateway - - -

Additional information

MD5: 28128ff88b5bb61b7856f2095303bf56 [/quote]



y el segundo parfece un VUNDO, vamos a ver:


[quote="VirusTotal"]
File FND0.NFI received on 09.10.2008 18:44:44 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 9/36 (25%)



Antivirus Version Last Update Result

AhnLab-V3 2008.9.6.0 2008.09.10 -

AntiVir 7.8.1.28 2008.09.10 -

Authentium 5.1.0.4 2008.09.10 W32/Virtumonde!Generic

Avast 4.8.1195.0 2008.09.10 -

AVG 8.0.0.161 2008.09.10 -

BitDefender 7.2 2008.09.10 Trojan.Vundo.EKW

CAT-QuickHeal 9.50 2008.09.10 -

ClamAV 0.93.1 2008.09.10 -

DrWeb 4.44.0.09170 2008.09.10 Trojan.Virtumod.based

eSafe 7.0.17.0 2008.09.10 -

eTrust-Vet 31.6.6082 2008.09.10 -

Ewido 4.0 2008.09.10 -

F-Prot 4.4.4.56 2008.09.09 W32/Virtumonde!Generic

F-Secure 8.0.14332.0 2008.09.10 Trojan-Downloader.Win32.Small.ixj

Fortinet 3.112.0.0 2008.09.10 -

GData 19 2008.09.10 Trojan.Win32.Monder.gen

Ikarus T3.1.1.34.0 2008.09.10 -

K7AntiVirus 7.10.450 2008.09.10 -

Kaspersky 7.0.0.125 2008.09.10 not-a-virus:AdWare.Win32.Virtumonde.oax

McAfee 5380 2008.09.09 -

Microsoft 1.3903 2008.09.10 -

NOD32v2 3429 2008.09.09 -

Norman 5.80.02 2008.09.10 -

Panda 9.0.0.4 2008.09.09 -

PCTools 4.4.2.0 2008.09.10 -

Prevx1 V2 2008.09.10 -

Rising 20.61.22.00 2008.09.10 -

Sophos 4.33.0 2008.09.10 Sus/Keygen-A

Sunbelt 3.1.1616.1 2008.09.09 -

Symantec 10 2008.09.10 -

TheHacker 6.3.0.9.077 2008.09.10 -

TrendMicro 8.700.0.1004 2008.09.10 -

VBA32 3.12.8.5 2008.09.10 Win32.Adware.Virtumonde

ViRobot 2008.9.10.1371 2008.09.10 -

VirusBuster 4.5.11.0 2008.09.10 -

Webwasher-Gateway 6.6.2 2008.09.10 -

Additional information

File size: 190547 bytes [/quote]

Efectivamente, aunque este puede tener mas miga, pero igual simplememte lo ocultaba el otro, asi que renombra su extension igual a .VIR y reinicia.



A ver si asi aparcamos el problema hatsa el viernes.



saludos



ms, 10-09-2008

[guepardos3]

Hola de nuevo. Como me aconsejaste, ya tenía la extensión cambiada de *.dll a *.vir del clusap.



Paso de inmediato a cambiar también la extensión del FNDO.NFI y bueno, que decirte que no sea que estoy enormemente agradecido por tan pronta respuesta.



Un saludo y que lo paséis muy bien el día de fiesta.

[msc hotline sat]

Gracias, el viernes prueba las nuevas versiones que haremos de nuestras utilidades, de lo cual informaremos en el foro



saludos



ms, 10-09-2008

[guepardos3]

Gracias "msc hotline sat".



He estado ojeando las utilidades y he encontrado un montón, pero no sé cual debo usar. Si fuera posible que me aconsejaras cual de ellas debo emplear, te lo agradecería.



Un saludo.

[lucl]

pues prueba con elistara y nos pegas el log que te dejara en C infosat.txt saludos





http://www.zonavirus.com/descargas/elistara.asp

[guepardos3]

Mira Luci, bajé el Elistara, lo pasé y creo que no detectó nada, sin embargo te comento que tengo instalado el Malwarebytes antimalware, que sí me ha detectado dos entradas en el registro que me las señala. A continuación te pego el txt del Elistara y tras éste el del Malwarebyte, por si te es de utilidad (El NOD32 lo he pasado y no pilla nada):



Fri Sep 12 14:40:35 2008

EliStartPage v16.92 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5677

Nº Total de Ficheros: 54050

Nº de Ficheros Analizados: 22225

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



**************************************************************************************************************

Malwarebytes' Anti-Malware 1.28

Versión de la Base de Datos: 1136

Windows 5.1.2600 Service Pack 2



10/09/2008 15:49:24

malware 2008-09-10 (15-49-00).txt



Tipo de examen : Examen Completo (C:\|D:\|)

Objetos examinados: 112857

Tiempo transcurrido: 23 minute(s), 6 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 2

Carpetas Infectadas: 0

Ficheros Infectados: 0



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)



Valores del Registro Infectados:

(No se han detectado elementos maliciosos)



Elementos de Datos del Registro Infectados:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> No action taken.

HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> No action taken.



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

(No se han detectado elementos maliciosos)

**********************************************************************************************************

Un saludo.

[msc hotline sat]

Lo que estas viendo en esto del Malware son claves de registro, que pueden ser restos, pero si por otra parte ello mismos te dicen:



Ficheros Infectados:

(No se han detectado elementos maliciosos)



Deben ser claves antiguas que ya no sirven, si no hay los ficheros que indican.



saludos



ms, 12-09-2008

[guepardos3]

Hola de nuevo "msc hotline sat":



Me dí cuenta que el valor de registro detectado por Malwarebyte, lo que me indicaba realmente era que no estaba bien, hacía una relación de archivos *.dll y que el formato en que se había introducido el valor en el registro no estaban separados por ",", así que corregí ese detalle, volvía a pasar el Malwarebytes y ya no me detectó nada.



Por otro lado, el Kasperky on line volví a pasarlo y no falla, vuelve a detectar los dos virus que me indicaste, en esta ocasión con la extensión *.VIR, el clusap.VIR y el FNDO.VIR.



¿Crees que haría bien en eliminarlos directamente?, teniendo en cuenta que son los dos únicos infectados y que causan o pueden causar problemas.



¿Debería pasar algún otra utilidad de detección?



Un saludo.

[lucl]

Habias enviado ya muestras de esos archivos? si no es asi hazlo, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





EDITO: Veo que ya los enviaste y que ademas ya estan controlados con la version de elistara de hoy







ELISTARA



---v16.93-(12 de Septiembre del 2008) (Muestras de Dropper(ConHook) "FND0.EXE", BackDoor.CVT "WIN***32.DLL", AutoRun(Recycle) "SERVICE.EXE", Trojan.Agent.ABUE "SYMBOOTER.EXE", Trojan.Mondera "TKKYGH.EXE", Boaxxe(BHO) "CLUSAP.DLL", Trojan.FraudPack "AV2009.EXE" y Exploit.Wmfap.A "DJIK.EXE")





por lo que pasa de nuevo elistara y peganos el log de infosat.txt es importante que nos lo pongas para ver que ocurre, saludos





http://www.zonavirus.com/descargas/elistara.asp

[guepardos3]

Hola "luci", he tardado un poquito en contestar por el trabajo. Adjunto te mando el log del Elistara, tengo que decir que no observé la primera vez que ese programa solo analiza una unidad, por lo que ahora te mando el log tras haber analizado las dos particiones del disco duro.



Por otro lado te comento que volví a pasar el Kaspersky on line y me sigue detectando los archivos FNDO.VIR y Clusap.VIR. ¿Me recomendáis que los elimine y permanezco aún con ellos?.



El log del Elistara de las dos unidades es el siguiente:





Sat Sep 13 13:05:27 2008

EliStartPage v16.92 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5680

Nº Total de Ficheros: 54114

Nº de Ficheros Analizados: 22235

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



**********************************************************************************************



Sat Sep 13 13:12:38 2008

EliStartPage v16.92 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\utilidades\Disco seguridad\Drivers\Driver Fujitsu xp\Sonido-Realtek\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

D:\utilidades\Disco seguridad\Drivers\Drivers Packard Bell\Drivers Pccity\PB\Realtek High Definition Audio\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 1097

Nº Total de Ficheros: 23383

Nº de Ficheros Analizados: 558

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2





Un saludo y gracias.

[msc hotline sat]

Pero debes descargar la actual version del ELISTARA, que la que usas es la 16.92 y no los controlabamos con ellos



Ahora , como bien indica lucl, ya se controlan como Boaxxe(BHO) "CLUSAP.DLL", y de Dropper(ConHook) "FND0.EXE, si bien el .FMI es un archivo de cuarentena que puede eliminarse, ya que está cifrada con XOR A5 e inoperativa ya tal como está, si bien gracias a la muestra pasamos a controlar el fichero malware en su extension original



Asi que ambos ficheros ya puedes eliminarlos, (el CLUSAP debería eliminarlo ya el ELISTARA ACTUAL) , que así se restaurarán las claves modificadas por los mismos, de forma que podamos considerar solucionado el Tema



Tras reiniciar, comentanos si tras ello persiste alguna anomalia o como esperamos, podemos dar por solucionado el Tema



saludos



ms, 13-09-2008

[guepardos3]

Perdonad, creí que la versión del Elistara que descargué era la actual, creo ahora haber descargado la más reciente, los he pasado por las dos particiones y sale ésto:



Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 118

Nº Total de Ficheros: 440

Nº de Ficheros Analizados: 124

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Sat Sep 13 18:56:58 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CLUSAP.VIR --> Eliminado, Boaxxe(BHO)



Nº Total de Directorios: 5685

Nº Total de Ficheros: 54241

Nº de Ficheros Analizados: 22265

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



********************************************************************************************



Sat Sep 13 19:06:25 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 1099

Nº Total de Ficheros: 23429

Nº de Ficheros Analizados: 556

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



He procedido a eliminar como me aconsejásteis, los dos ficheros infectados, bueno, uno se lo cargó el Elistara. Todo ello teniendo desctivado Restaurar Sistema desde luego. Reinicié y no he tenido ningún problema.



Creo que está todo solucionado pues, y como creo que cerraréis el tema, aunque en el foro hay una página de agradecimientos a donde me remitiré, aprovecho para despedirme de vosotros quedando atentamente agradecidos por tan pronta y profesional ayuda que estáis prestando a todos desinteresadamente, parece increible que hoy en día todavía podamos encontrar gente así.



Un saludo.

[msc hotline sat]

Pues lo celebramos, y como que lo consideras solucionado, efectivamente procedemos a cerrar el Tema



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 13-09-2008