Iobit Defrag virus? (SOLUCIONADO)

[jseg]

Saludos.

Hace tiempo vengo utilizando el Advanced Windows Care de la casa Iobit y la verdad es que se nota la mejora después de pasarlo. El caso es que vi un anuncio del "Smart defrag" de la misma casa, lo instalé para probarlo y me parece que funciona bien, pero ahora le paso el ElistarA y...C:\Archivos de programa\IObit\IObit SmartDefrag\IOBIT SMARTDEFRAG.EXE --> Infectado, Spy.Delf (BHO). Que es esto? Es virus/spyware??

Adjunto fichero InfoSat.

Gracias.

[msc hotline sat]

Recuerda que :





Sube dicho fichero al VirusTotal, www.virustotal.com/es , y posteanos el resultado, o ya si ves que ninguno detecta virus en dicho fichero, envianoslo como indicamos en el Tema del link, indicando bien grande: POSIBLE FALSO POSITIVO



Tras analizarlo, si vemos que no contiene rutinas viricas, buscaremos otras cadenas de detccion que sigan estando en los ficheros malware pero no en el susodicho, y tras modificar convenientemente la utilidad, informaremos al respectp



saludos



ms, 20-09-2008

[jseg]

Bien, pues si que hay algunos antivirus de Virustotal que lo detectan.

https://www.virustotal.com/es//analisis/7e5366b0506608b35e229c0e616a0c27

Tengo que enviaros dicho fichero?

[msc hotline sat]

Efectivamente, el F-PROT es muy fiable:



F-Prot 4.4.4.56 2008.09.21 W32/Banload.C.gen!Eldorado



y derivadoss de bankers abundan (los banload lo son)



Como que ya lo detectamos con el ELISTARA, no hace falta que lo envies, mas bien mira de prescindir de este programa... :wink: , y si utilizas este ordenador para acceso a la banca por internet, transferencias y acceso a la cuenta bancaria, mejor toma precauciones...



saludos



ms, 21-09-2008

[jseg]

Uf...

Que quieres decir con lo de la banca (no utilizo para nada el ordenador para dar datos bancarios ni nada que se le parezca, aunque no tenga ningún virus instalado no me parece seguro), que este programa roba datos del Pc? Y que tome precauciones???

Entonces desinstalaré el Advdnced Windows care también, que es de la misma casa. Esto me parece increíble, vamos..y además creo que van "juntos" con AVG, que también tengo instalado el AVG Antivirus. :shock:

[lucl]

Si no utilizas el pc para nada bancario no te agobies, tan solo Msc te advierte en caso de que lo hicieras porque es cierto que este tipo de virus se dedica a eso, pero si tu no lo haces estate tranquilo saludos

[jseg]

No, si no me agobio.A mi me gusta más hacer bien estas cosas, como ir a la oficina, no a través de internet. Pero el virus en sí no es el ejecutable este? Borrando o no usando el programa no actua, no?

Esque no se exactamente como funcionan estas cosas, es curiosidad solamente.

[msc hotline sat]

Muchas veces los banloads son los generadores o descargadores de PWS SPY BANKER. y aun borrando el fichero podría haber generado o descargado el autentico espía...



Para quedar mas tranquilos, despues de desinstalar dichas aplicaciones sospechosas, lanza este AV ONLINE y posteanos el informe resultante, asi veremos si ha creado algo conocido o tienes algo mas que convenga eliminar, antes de dar por solucionado el Tema:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





saludos



ms, 21-09-2008

[xtranio]

Hola soy juan y soy nuevo en esto de los foros y de los virus!

recientemente se me metio un virus en la pc que me complico la existencia se me borraon los iconnos de todos los programas y de cambiar de usuario del escritorio y se volvio super lenta la makina

estuve revisando preguntas y respuestas sobre esto y me parecio que aca la tienen mas que clara con este tema asi que hice lo que muchos y me baje el HijackThis para ver que pasaba y como resultado me dio todo esto:

si alguien porfavor me dice lo que tengo que hacer se lo agradesco muuuuuuchoooooooooooo!!!

desde ya muchas gracias!!!



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:35: VIRUS ALERT!, on 21/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal



Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\csrss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

H:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

H:\WINDOWS\Explorer.exe

H:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

H:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

H:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

H:\WINDOWS\system32\HPZipm12.exe

H:\WINDOWS\system32\slserv.exe

H:\WINDOWS\system32\svchost.exe

H:\ARCHIV~1\SPEEDB~1\VideoAcceleratorService.exe

H:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

H:\Archivos de programa\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

H:\Archivos de programa\Internet Explorer\iexplore.exe

H:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

H:\Archivos de programa\Microsoft IntelliType Pro\type32.exe

H:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

H:\Archivos de programa\Messenger\msmsgs.exe

H:\WINDOWS\system32\ctfmon.exe

H:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

H:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

H:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

H:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

H:\WINDOWS\System32\alg.exe

H:\WINDOWS\system32\WgaTray.exe

H:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

H:\WINDOWS\system32\wuauclt.exe

H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC12.exe

H:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

H:\WINDOWS\system32\wbem\wmiprvse.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ar.msn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ar.msn.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.msn.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLeftPane.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=141.76.45.18:3127

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

R3 - URLSearchHook: OTS Software Toolbar - {e41b29e5-88b5-40b1-903e-080e0f2c4b65} - H:\Archivos de programa\OTS_Software\tbOTS1.dll

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - H:\Archivos de programa\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

F2 - REG:system.ini: Shell=Explorer.exe H:\WINDOWS\WindowsXP.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - H:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - H:\Archivos de programa\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: QXK Olive - {8B93A89B-7332-4B4B-830C-72EB6323D0DB} - H:\WINDOWS\vmgspntbvlw.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Archivos de programa\Windows Live Toolbar\msntb.dll (file missing)

O2 - BHO: OTS Software Toolbar - {e41b29e5-88b5-40b1-903e-080e0f2c4b65} - H:\Archivos de programa\OTS_Software\tbOTS1.dll

O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - H:\Archivos de programa\AskSBar\bar\1.bin\ASKSBAR.DLL

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Archivos de programa\Windows Live Toolbar\msntb.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: OTS Software Toolbar - {e41b29e5-88b5-40b1-903e-080e0f2c4b65} - H:\Archivos de programa\OTS_Software\tbOTS1.dll

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - H:\Archivos de programa\AskSBar\bar\1.bin\ASKSBAR.DLL

O3 - Toolbar: fqbewlna - {32678B97-2C98-4D22-A8F6-55C35572E946} - H:\WINDOWS\fqbewlna.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AVG7_CC] H:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ISUSPM Startup] "H:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "H:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [BearFlix] "H:\Archivos de programa\BearFlix\BearFlix.exe" /pause

O4 - HKLM\..\Run: [USBToolTip] "H:\Archivos de programa\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [HP Software Update] H:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [type32] "H:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] H:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [QuickTime Task] "H:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SpeedBitVideoAccelerator] "H:\Archivos de programa\SpeedBit Video Accelerator\VideoAccelerator.exe"

O4 - HKLM\..\Run: [888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 8888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888SOFTWARE\Microsoft\Windows\CurrentVersion\Run

O4 - HKLM\..\Run: [ANTIVIRUS] H:\Archivos de programa\MicroAV\MicroAV.exe

O4 - HKCU\..\Run: [QuickTime Task] "H:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "H:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [BitTorrent] "H:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LaunchList] H:\Archivos de programa\Pinnacle\Studio 11\LaunchList2.exe

O4 - HKCU\..\Run: [ANTIVIRUS] H:\Archivos de programa\MicroAV\MicroAV.exe

O4 - HKCU\..\Run: [swg] H:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] H:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = H:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = H:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxdm414YYAR

O8 - Extra context menu item: &Windows Live Search - res://H:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by111fd.bay111.hotmail.msn.com/activex/HMAtchmt.ocx

O21 - SSODL: mgxfebsq - {B4AA4A50-6019-40EB-BA05-79F89722B08A} - H:\WINDOWS\mgxfebsq.dll

O21 - SSODL: dtseqrxk - {D42B6994-FCA2-486A-BF07-80308BF545F2} - H:\WINDOWS\dtseqrxk.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - H:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio de estado de ASP.NET (aspnet_state) - Unknown owner - H:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - H:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - H:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - H:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 (clr_optimization_v2.0.50727_32) - Unknown owner - H:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (file missing)

O23 - Service: Windows Presentation Foundation Font Cache 3.0.0.0 (FontCache3.0.0.0) - Unknown owner - H:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - H:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Windows CardSpace (idsvc) - Unknown owner - H:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe (file missing)

O23 - Service: iPodService - Unknown owner - H:\Archivos de programa\iPod\bin\iPodService.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - H:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - H:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - H:\Archivos de programa\Spyware Doctor\pctsSvc.exe

O23 - Service: ServiceLayer - Nokia. - H:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: VideoAcceleratorService - Speedbit Ltd. - H:\ARCHIV~1\SPEEDB~1\VideoAcceleratorService.exe



--

End of file - 13792 bytes

[msc hotline sat]

Estas en un Tema de otro usuario que no tiene que ver contigo ni con tu problema...



Abre un Tema con titulo WindowsXP.exe ya que vemos que es un malware que tienes en tu equipo, aparte de mas cosas, por lo que paralelamente has de enviarnos estos ficheros:



H:\WINDOWS\WindowsXP.exe



H:\WINDOWS\vmgspntbvlw.dll



H:\Archivos de programa\BearFlix\BearFlix.exe



H:\Archivos de programa\MicroAV\MicroAV.exe



...\menú inicio\programas\inicio\PowerReg Scheduler.exe



H:\WINDOWS\mgxfebsq.dll



H:\WINDOWS\dtseqrxk.dll









En el nuevo Tema, empieza posteando de nuevo este log del HJT pues el envio de las muestras solo es el primer paso, hay claves y otros ficheros sospechosos que revisaremos una vez hayamos monitorizado las muestras y veamos de lo que se trata, pero podría ser que tuvieras mas de un malware...



saludos



ms, 22-09-2008

[jseg]

Bueno, aquí está el informe. El klg es un keylogger que me descargue de algún sitio para probarlo y se me olvidó borrar ese archivo después de desinslatarlo, Google Chrome también ya está desinstalado.

Supongo que no hay nada más. Como siempre muchísimas gracias por vuestra ayuda.

KASPERSKY ONLINE SCANNER INFORME

martes, 23 de septiembre de 2008 15:31:19

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 23/09/2008

Registros en la base antivirus: 1251103

Configuración del análisis

Analizar usando las siguientes bases estendidas

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\

H:\

Estadísticas

Número de objeros analizados 170522

Virus encontrados 3

Objetos infectados 5 / 0

Objetos sospechosos 0

Duración del análisis 02:08:17



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\master.mdf Object is locked saltado

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\mastlog.ldf Object is locked saltado

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\model.mdf Object is locked saltado

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\modellog.ldf Object is locked saltado

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\tempdb.mdf Object is locked saltado

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Data\templog.ldf Object is locked saltado

C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\LOG\ERRORLOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\emc\Log\emc.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgui.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log Object is locked saltado

C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\xi\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\x\Configuración local\Datos de programa\Google\Chrome\User Data\Default\Cache\f_000020 Infectados: Trojan-Downloader.Win32.IstBar.wx saltado

C:\Documents and Settings\x\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\x\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\x\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\x\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\x\Configuración local\Historial\History.IE5\MSHist012008092320080924\index.dat Object is locked saltado

C:\Documents and Settings\x\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\x\ntuser.dat Object is locked saltado

C:\Documents and Settings\x\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Downloads\_extracted\klg.exe/stream/data0005 Infectados: not-a-virus:Monitor.Win32.SfKeylogger.b saltado

C:\Downloads\_extracted\klg.exe/stream/data0006 Infectados: not-a-virus:Monitor.Win32.Sfkeylogger.a saltado

C:\Downloads\_extracted\klg.exe/stream Infectados: not-a-virus:Monitor.Win32.Sfkeylogger.a saltado

C:\Downloads\_extracted\klg.exe NSIS: infectado - 3 saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Tasks\SCHEDLGU.TXT Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_798.dat Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.

[msc hotline sat]

Pues cuidado con estos:



C:\Downloads\_extracted\klg.exe/stream/data0005 Infectados: not-a-virus:Monitor.Win32.SfKeylogger.b saltado

C:\Downloads\_extracted\klg.exe/stream/data0006 Infectados: not-a-virus:Monitor.Win32.Sfkeylogger.a saltado

C:\Downloads\_extracted\klg.exe/stream Infectados: not-a-virus:Monitor.Win32.Sfkeylogger.a saltado

C:\Downloads\_extracted\klg.exe NSIS: infectado - 3 saltado





Esto parece ser u keylogger... Envianos este fichero para analizar:



C:\Downloads\_extracted\klg.exe











y mientras pon en cuarentena esta carpeta ...:



C:\Downloads\_extracted\



saludos



ms, 24-09-2008

[jseg]

Bueno, como digo más arriba, el klg.exe es un programa keylogger que descargué yo mismo (no me acuerdo de donde) para probar como funcionaba. Leí por ahí que lo detectan los antivirus como virus pero realmente no lo es. Se me olvidó borrar el archivo descargado cuando lo desinstalé. Ya lo he eliminado en ver el resultado del escaneo, pero si quereis lo bajo de nuevo y os lo envío.

[lucl]

Pues no estaria nada mal que lo enviases para descartar que sea virico, tambien pudiera ocurrir que la muestra que tu tenias si estuviera contaminada.

[jseg]

Ok. Ya lo he enviado. Solamente hay que ver lo que dice virustotal:

https://www.virustotal.com/es//analisis/9a8fcbf20672e5baed91c3e491396a0a

[msc hotline sat]

Pues la mayoría de los antivirus lo detectan, y entre ellos McAfee como cazapasswords:



McAfee 5389 2008.09.22 Generic PWS.y



Cuando recibamos las muestras del ejecutable en cuestion, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 25-09-2008

[msc hotline sat]

Pues analizada la muestra, es el instalador de dicho keylogger, el cual pasamos a controlar y eliminar con la version de hoy del ELISTARA 17.04



Gracias por enviarnos la muestra, a pesar de que Vd ya lo había solucionado.



En consecuencia, damos por solucionado el Tema y procedemos a cerrarlo



saludos



ms, 25-09-2008