C:\WINDOWS\iexplore.html (SOLUCIONADO)

Daleki · Mensaje por **Daleki** » 01 Oct 2008, 17:23

Buenas!!!

Pues tengo un problemilla en el ordenador y no se si sera un virus.

Mi ordenador no hace mas que abri ventanitas de C:\WINDOWS\iexplore.html. Algunas de esas ventanas se convierten en publicidad de atrapalo, vueling, de melodias de moviles y cosas de esas, otras se quedan en C:\WINDOWS\iexplore.html pero con tres anuncios. Y otras en una pagina de virusremover2008 diciendome que el ordenador esta infectado y que instale no se que cosa. Asi hasta un maximo de 40 paginas. Cuando llega a las 40 dejan de abrirse.

Ademas el ordenador me valentisimo.

He pasado el CCleaner, lo he explorado con el avg, spybot, ad aware y nada, no me encuentran nada.

De lo de virusremover2008 no he instalado nada, se que es un troyano o alguna cosilla de esas. Asi que lo unico que hago es cerrar ventanitas.

Y otra cosa, no funciona el ctrl+alt+supr, no se si tendra algo que ver con lo otro... pero me siento perdida sin el.

Que le pasa?? Que puedo hacer??

Muchas gracias por vuestra ayuda

Mensaje por **msc hotline sat** » 01 Oct 2008, 19:00

Lo del CTRL ALT SUP es muy probable que sea por el malware, ya que hay muchos que desactivan el acceso al Administrador de tareas.

Para ir directos al grano, lance este AV ONLINE y posteenos el informe resultante:

[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred]~~[b]~~ SOLO TESTEO AV ONLINE[/b][/color][/url]

NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.

[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]

Una vez analizado, veremos lo que el incordia y procederemos en consecuencia

saludos

ms, 1 de Octubre de 2008

Daleki · Mensaje por **Daleki** » 03 Oct 2008, 18:45

Pffff dura muchisimo!!!

Hoy que por fin he conseguido que funcionase sin que se me bloqueara es el dia q menos tiempo tenia para hacerlo.

Ha estado unas 2 horas y solo habia testeado el 17%!!

De todasformas te pongo lo que ha hallado.

A ver si mañana consigo hacer el analisis completo

KASPERSKY ONLINE SCANNER INFORME

viernes, 03 de octubre de 2008 18:39:05

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 3/10/2008

Registros en la base antivirus: 1148642

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

C:\

D:\

E:\

F:\

G:\

H:\

I:\

Estadísticas

Número de objeros analizados 93888

Virus encontrados 3

Objetos infectados 6 / 0

Objetos sospechosos 0

Duración del análisis 01:56:48

Bombre del objeto infectado Nombre del virus Última acción

C:\APPS\Powercinema\Kernel\CLML_NTService\CLML_MAIN\CLML.db Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log.1 Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Symantec\LiveUpdate\2008-10-03_Log.ALUSchedulerSvc.LiveUpdate Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\34371370.exe Infectados: P2P-Worm.Win32.Kapucen.b saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\Content.IE5\MX99IIWN\VRM_Free_es[1].exe Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\ApplicationHistory\cli.exe.72313fbf.ini.inuse Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\Cache\_CACHE_001_ Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\Cache\_CACHE_002_ Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\Cache\_CACHE_003_ Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\Cache\_CACHE_MAP_ Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\urlclassifier3.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Historial\History.IE5\MSHist012008100220081003\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Historial\History.IE5\MSHist012008100320081004\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\etilqs_K6qGmg9LsKDjb7p9SKuc Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\Perflib_Perfdata_9f4.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\Perflib_Perfdata_ee4.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\Perflib_Perfdata_f00.dat Object is locked saltado

C:\Documents and Settings\usuario\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\cert8.db Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\content-prefs.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\cookies.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\downloads.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\formhistory.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\key3.db Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\parent.lock Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\permissions.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\places.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\places.sqlite-journal Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\search.sqlite Object is locked saltado

C:\Documents and Settings\usuario\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\usuario\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP238\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\LSPRN.EXE Infectados: Trojan.Win32.Small.ybe saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\shapi32.dll Infectados: Backdoor.Win32.Agent.slp saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\divxdrv32.exe Infectados: Trojan.Win32.Small.ybe saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\mssupd32.exe Infectados: Backdoor.Win32.Agent.slp saltado

C:\WINDOWS\system32\PRINTDRV.EXE Infectados: Backdoor.Win32.Agent.slp saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt Object is locked saltado

C:\WINDOWS\Temp\sqlite_4DttodRibtSFrPT Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis interrumpido por el usuario!

Un saludo y muchas gracias

Mensaje por **lucl** » 03 Oct 2008, 18:56

Bien pues busca estos archivos

C:\WINDOWS\~~[b]~~LSPRN.EX[/b]E Infectados: Trojan.Win32.Small.ybe saltado

C:\WINDOWS\~~[b]~~shapi32.dll [/b]Infectados: Backdoor.Win32.Agent.slp saltado

C:\WINDOWS\system32\~~[b]~~divxdrv32.exe [/b]

y subelos a analizar a virustotal, nos pegas los log resultantes de los que te den viricos

www.virustotal.com/es

Y sobre el analisis online, tranquilo que eso es normal yo me he tirado doce horas analizando... saludos

Mensaje por **msc hotline sat** » 03 Oct 2008, 20:24

Y envianoslos para analizar:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras monitorizarlos, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

saludos

ms, 3 de Octubre de 2008

NOTA:

Y mientras, renombra la extension de los siguientes ficheros a .VIR:

-C:\WINDOWS\LSPRN.EXE

-C:\WINDOWS\shapi32.dll

-C:\WINDOWS\system32\divxdrv32.exe

C:\WINDOWS\system32\mssupd32.exe

C:\WINDOWS\system32\PRINTDRV.EXE

Así, tras reiniciar, ya no se podrá el virus en memoria. ms.

Daleki · Mensaje por **Daleki** » 03 Oct 2008, 20:30

No se que es eso del log asi que te pego todo lo que ha salido vale??

Análisis del archivo ~~[b]~~LSPRN.EXE[/b] recibido el 03.10.2008 20:24:10 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 11/36 (30.56%)

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.10.3.2 2008.10.03 -

AntiVir 7.8.1.34 2008.10.03 -

Authentium 5.1.0.4 2008.10.03 W32/Heuristic-257!Eldorado

Avast 4.8.1248.0 2008.10.03 Win32:Small-MHL

AVG 8.0.0.161 2008.10.03 -

BitDefender 7.2 2008.10.03 -

CAT-QuickHeal 9.50 2008.10.03 Trojan.Small.ybe

ClamAV 0.93.1 2008.10.02 -

DrWeb 4.44.0.09170 2008.10.03 -

eSafe 7.0.17.0 2008.10.02 -

eTrust-Vet 31.6.6127 2008.10.03 -

Ewido 4.0 2008.10.03 -

F-Prot 4.4.4.56 2008.10.03 W32/Heuristic-257!Eldorado

F-Secure 8.0.14332.0 2008.10.03 Trojan.Win32.Small.ybe

Fortinet 3.113.0.0 2008.10.03 -

GData 19 2008.10.03 Win32:Small-MHL

Ikarus T3.1.1.34.0 2008.10.03 Trojan-Spy.Win32.Agent.DI

K7AntiVirus 7.10.483 2008.10.03 -

Kaspersky 7.0.0.125 2008.10.03 Trojan.Win32.Small.ybe

McAfee 5397 2008.10.02 -

Microsoft 1.4005 2008.10.03 -

NOD32 3493 2008.10.03 probably unknown NewHeur_PE

Norman 5.80.02 2008.10.03 -

Panda 9.0.0.4 2008.10.03 Suspicious file

PCTools 4.4.2.0 2008.10.03 -

Prevx1 V2 2008.10.03 -

Rising 20.63.62.00 2008.09.28 -

SecureWeb-Gateway 6.7.6 2008.10.03 -

Sophos 4.34.0 2008.10.03 -

Sunbelt 3.1.1668.1 2008.09.24 -

Symantec 10 2008.10.03 -

TheHacker 6.3.1.0.099 2008.10.03 -

TrendMicro 8.700.0.1004 2008.10.03 -

VBA32 3.12.8.6 2008.10.03 suspected of MalwareScope.Trojan-PSW.Pinch.45 (paranoid heuristics)

ViRobot 2008.10.3.1405 2008.10.03 -

VirusBuster 4.5.11.0 2008.10.03 -

Información adicional

Tamano archivo: 16896 bytes

MD5...: 14f03f33ca5c42b9e0143085b8a1470c

SHA1..: d3a98d00c75030e770293b2518ca4221cb9432fa

SHA256: a67033bf2eae9209a80895873230bc2d19d1d7ac953e3e459812881807e2a723

SHA512: 3c4b7fa6ba2fd255241f7884a5d517b38b4f488d9560bd8f3aa1fc08ac09af25

034fc4ce4df0e84038c827d6557c414a514cfc189077a47eb27879dcba7b5f61

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x401000

timedatestamp.....: 0x48dfade4 (Sun Sep 28 16:16:36 2008)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xc72 0xe00 5.31 eee43746404260fe146abb9dc96d836a

.rdata 0x2000 0x248 0x400 3.04 f4c4054f60cc700d188f2e179d9a04d8

.data 0x3000 0x364f 0x2600 4.14 b90d1bf56d0052fc4c61af5470e4cae0

.rsrc 0x7000 0x470 0x600 2.05 10e734d552418cec57f3af24867177c0

( 3 imports )

> kernel32.dll: GetSystemDirectoryA, GetWindowsDirectoryA, GetModuleFileNameA, OpenMutexA, Sleep, GetLastError, ExitProcess, CreateMutexA, OpenFile, CopyFileA, FindClose, FindFirstFileA

> advapi32.dll: RegOpenKeyExA, RegCreateKeyA, RegCloseKey, RegSetValueExA

> shell32.dll: SHGetSpecialFolderPathA, ShellExecuteA

( 0 exports )

Análisis del archivo ~~[b]~~shapi32.dll [/b] recibido el 03.10.2008 20:25:39 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 17/36 (47.23%)

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.10.3.2 2008.10.03 Win-Trojan/Agent.505856.D

AntiVir 7.8.1.34 2008.10.03 DR/Delphi.Gen

Authentium 5.1.0.4 2008.10.03 W32/Heuristic-257!Eldorado

Avast 4.8.1248.0 2008.10.03 Win32:Small-MHL

AVG 8.0.0.161 2008.10.03 -

BitDefender 7.2 2008.10.03 -

CAT-QuickHeal 9.50 2008.10.03 Backdoor.Agent.slp

ClamAV 0.93.1 2008.10.02 -

DrWeb 4.44.0.09170 2008.10.03 DLOADER.Trojan

eSafe 7.0.17.0 2008.10.02 -

eTrust-Vet 31.6.6127 2008.10.03 -

Ewido 4.0 2008.10.03 -

F-Prot 4.4.4.56 2008.10.03 W32/Heuristic-257!Eldorado

F-Secure 8.0.14332.0 2008.10.03 Backdoor.Win32.Agent.slp

Fortinet 3.113.0.0 2008.10.03 -

GData 19 2008.10.03 Win32:Small-MHL

Ikarus T3.1.1.34.0 2008.10.03 Backdoor.Win32.Agent.slp

K7AntiVirus 7.10.483 2008.10.03 -

Kaspersky 7.0.0.125 2008.10.03 Backdoor.Win32.Agent.slp

McAfee 5397 2008.10.02 -

Microsoft 1.4005 2008.10.03 -

NOD32 3493 2008.10.03 probably unknown NewHeur_PE

Norman 5.80.02 2008.10.03 W32/Malware.EAZC

Panda 9.0.0.4 2008.10.03 Suspicious file

PCTools 4.4.2.0 2008.10.03 -

Prevx1 V2 2008.10.03 Malicious Software

Rising 20.63.62.00 2008.09.28 -

SecureWeb-Gateway 6.7.6 2008.10.03 Trojan.Dropper.Delphi.Gen

Sophos 4.34.0 2008.10.03 -

Sunbelt 3.1.1675.1 2008.09.27 -

Symantec 10 2008.10.03 -

TheHacker 6.3.1.0.099 2008.10.03 -

TrendMicro 8.700.0.1004 2008.10.03 -

VBA32 3.12.8.6 2008.10.03 suspected of MalwareScope.Trojan-PSW.Pinch.45 (paranoid heuristics)

ViRobot 2008.10.3.1405 2008.10.03 -

VirusBuster 4.5.11.0 2008.10.03 -

Información adicional

Tamano archivo: 505856 bytes

MD5...: 958cf55c3597dc39d9ef4c9d1a5fb6ec

SHA1..: 41b675d805018852fef00d2256c933483bfbb7b7

SHA256: bc43dc2ef3793176ea3f56a4b80683505acc5ba089bb1b282d70cc091a1606b4

SHA512: 6f105307649acd81e44318101ff2a14fcda1cd8e649f279e68afdb2a2bfd74ab

1fa2916d93895e0ac72e5c17916fedfa23aedc6cb15ef2ba84c3549a9578a620

PEiD..: -

TrID..: File type identification

InstallShield setup (74.6%)

Win32 Executable Generic (14.7%)

Win16/32 Executable Delphi generic (3.5%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x458714

timedatestamp.....: 0x48dfbaef (Sun Sep 28 17:12:15 2008)

machinetype.......: 0x14c (I386)

Análisis del archivo ~~[b]~~divxdrv32.exe[/b] recibido el 03.10.2008 20:25:39 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 11/36 (30.56%)

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.10.3.2 2008.10.03 -

AntiVir 7.8.1.34 2008.10.03 -

Authentium 5.1.0.4 2008.10.03 W32/Heuristic-257!Eldorado

Avast 4.8.1248.0 2008.10.03 Win32:Small-MHL

AVG 8.0.0.161 2008.10.03 -

BitDefender 7.2 2008.10.03 -

CAT-QuickHeal 9.50 2008.10.03 Trojan.Small.ybe

ClamAV 0.93.1 2008.10.02 -

DrWeb 4.44.0.09170 2008.10.03 -

eSafe 7.0.17.0 2008.10.02 -

eTrust-Vet 31.6.6127 2008.10.03 -

Ewido 4.0 2008.10.03 -

F-Prot 4.4.4.56 2008.10.03 W32/Heuristic-257!Eldorado

F-Secure 8.0.14332.0 2008.10.03 Trojan.Win32.Small.ybe

Fortinet 3.113.0.0 2008.10.03 -

GData 19 2008.10.03 Win32:Small-MHL

Ikarus T3.1.1.34.0 2008.10.03 Trojan-Spy.Win32.Agent.DI

K7AntiVirus 7.10.483 2008.10.03 -

Kaspersky 7.0.0.125 2008.10.03 Trojan.Win32.Small.ybe

McAfee 5397 2008.10.02 -

Microsoft 1.4005 2008.10.03 -

NOD32 3493 2008.10.03 probably unknown NewHeur_PE

Norman 5.80.02 2008.10.03 -

Panda 9.0.0.4 2008.10.03 Suspicious file

PCTools 4.4.2.0 2008.10.03 -

Prevx1 V2 2008.10.03 -

Rising 20.63.62.00 2008.09.28 -

SecureWeb-Gateway 6.7.6 2008.10.03 -

Sophos 4.34.0 2008.10.03 -

Sunbelt 3.1.1675.1 2008.09.27 -

Symantec 10 2008.10.03 -

TheHacker 6.3.1.0.099 2008.10.03 -

TrendMicro 8.700.0.1004 2008.10.03 -

VBA32 3.12.8.6 2008.10.03 suspected of MalwareScope.Trojan-PSW.Pinch.45 (paranoid heuristics)

ViRobot 2008.10.3.1405 2008.10.03 -

VirusBuster 4.5.11.0 2008.10.03 -

Información adicional

Tamano archivo: 16896 bytes

MD5...: 14f03f33ca5c42b9e0143085b8a1470c

SHA1..: d3a98d00c75030e770293b2518ca4221cb9432fa

SHA256: a67033bf2eae9209a80895873230bc2d19d1d7ac953e3e459812881807e2a723

SHA512: 3c4b7fa6ba2fd255241f7884a5d517b38b4f488d9560bd8f3aa1fc08ac09af25

034fc4ce4df0e84038c827d6557c414a514cfc189077a47eb27879dcba7b5f61

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x401000

timedatestamp.....: 0x48dfade4 (Sun Sep 28 16:16:36 2008)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xc72 0xe00 5.31 eee43746404260fe146abb9dc96d836a

.rdata 0x2000 0x248 0x400 3.04 f4c4054f60cc700d188f2e179d9a04d8

.data 0x3000 0x364f 0x2600 4.14 b90d1bf56d0052fc4c61af5470e4cae0

.rsrc 0x7000 0x470 0x600 2.05 10e734d552418cec57f3af24867177c0

( 3 imports )

> kernel32.dll: GetSystemDirectoryA, GetWindowsDirectoryA, GetModuleFileNameA, OpenMutexA, Sleep, GetLastError, ExitProcess, CreateMutexA, OpenFile, CopyFileA, FindClose, FindFirstFileA

> advapi32.dll: RegOpenKeyExA, RegCreateKeyA, RegCloseKey, RegSetValueExA

> shell32.dll: SHGetSpecialFolderPathA, ShellExecuteA

( 0 exports )

Mensaje por **msc hotline sat** » 03 Oct 2008, 20:40

Pues el ~~[b]~~shapi32.dll [/b] lo controlan casi la mitad de los antivirus :

~~[b]~~Resultado: 17/36 (47.23%)[/b],

pero los otros dos no llegan a la tercera parte de ellos:

~~[b]~~LSPRN.EXE Resultado: 11/36 (30.56%)

divxdrv32.exe Resultado: 11/36 (30.56%)[/b]

seguramente los dos ultimos son copia de la misma variante pero con diferente nombre de fichero...

Pues haga lo que le indicaba en mi anterior post, renombre los ficheros, que alli se indican, a extension .VIR y envienoslos para analizar

saludos

ms, 3 de octubre de 2008

Daleki · Mensaje por **Daleki** » 05 Oct 2008, 20:45

Consegui solucionar lo de las ventanas que se abrian. Instale el NOD32 y me lo soluciono. Pero aun sigue sin funcionar el ctrl alt sup.

Y por fin consegui analizarlo entero!!!

Te pego el informe:

domingo, 05 de octubre de 2008 20:38:55

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 5/10/2008

Registros en la base antivirus: 1154975

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

C:\

D:\

E:\

F:\

G:\

H:\

I:\

Estadísticas

Número de objeros analizados 332157

Virus encontrados 4

Objetos infectados 10 / 0

Objetos sospechosos 0

Duración del análisis 05:01:56

Bombre del objeto infectado Nombre del virus Última acción

C:\APPS\Powercinema\Kernel\CLML_NTService\CLML_MAIN\CLML.db Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\eScan\ndl25878.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\34371370.exe Infectados: P2P-Worm.Win32.Kapucen.b saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\ApplicationHistory\cli.exe.72313fbf.ini.inuse Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Microsoft\Media Player\CurrentDatabase_219.wmdb Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\mary_gtf@hotmail.com\real\members.stg Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\mary_gtf@hotmail.com\shadow\members.stg Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\Cache\_CACHE_001_ Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\Cache\_CACHE_002_ Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\Cache\_CACHE_003_ Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\Cache\_CACHE_MAP_ Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\urlclassifier3.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Historial\History.IE5\MSHist012008100520081006\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\etilqs_JtkNfweUS47mBLEKQ6u2 Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\Perflib_Perfdata_7b4.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\Perflib_Perfdata_f58.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\Perflib_Perfdata_f60.dat Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\~DF769F.tmp Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\~DFA29A.tmp Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\~DFE8F7.tmp Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\~DFE906.tmp Object is locked saltado

C:\Documents and Settings\usuario\Configuración local\Temp\~tmp\hmunmlcl93\hmunmlcl93.exe Infectados: Trojan-Mailfinder.Win32.Blen.df saltado

C:\Documents and Settings\usuario\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\cert8.db Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\content-prefs.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\cookies.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\downloads.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\formhistory.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\key3.db Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\parent.lock Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\permissions.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\places.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\places.sqlite-journal Object is locked saltado

C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\u451np48.default\search.sqlite Object is locked saltado

C:\Documents and Settings\usuario\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\usuario\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP238\A0061451.dll Infectados: Backdoor.Win32.Agent.slp saltado

C:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP242\A0061666.EXE Infectados: Trojan.Win32.Small.ybe saltado

C:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP242\A0061669.EXE Infectados: Trojan.Win32.Small.ybe saltado

C:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP242\A0061670.dll Infectados: Backdoor.Win32.Agent.slp saltado

C:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP242\A0061672.exe Infectados: Trojan.Win32.Small.ybe saltado

C:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP242\A0061673.exe Infectados: Trojan.Win32.Small.ybe saltado

C:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP242\A0061674.exe Infectados: Backdoor.Win32.Agent.slp saltado

C:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP242\A0061678.EXE Infectados: Backdoor.Win32.Agent.slp saltado

C:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP242\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt Object is locked saltado

C:\WINDOWS\Temp\sqlite_phcRup3snCtussC Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

H:\System Volume Information\_restore{BA67144F-19FA-49BA-9708-71C2B7D8B069}\RP242\change.log Object is locked saltado

Análisis completado.

Mensaje por **lucl** » 05 Oct 2008, 22:17

Envianos este

C:\Documents and Settings\usuario\Configuración local\Temp\~tmp\hmunmlcl93\~~[b]~~hmunmlcl93.exe[/b]

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y los del restore los eliminaras desactivando restaurar sistema, arrancando el pc en modo seguro y pasando tu antivirus

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

saludos

Mensaje por **msc hotline sat** » 07 Oct 2008, 11:04

Recibidas las muestras enviadas, pasamos a implementar su control y eliminacion entre dos utilidades de hoy, al haber BACKDOOR que siempre controlamos con ELITRIIP y DOWNLOADER que controlamos con el ELISTARA:

[quote="msc"]

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos

[/quote]

(Descarga las nuevas versiones a partir de las 19 h GMT de hoy)

saludos

ms, 7-10-2008

Daleki · Mensaje por **Daleki** » 07 Oct 2008, 21:55

Tue Oct 07 20:40:19 2008

EliStartPage v17.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\PNP\AUDIO\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 6782

Nº Total de Ficheros: 77472

Nº de Ficheros Analizados: 30166

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Tue Oct 07 21:04:04 2008

EliTriIP v5.12 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6783

Nº Total de Ficheros: 77493

Nº de Ficheros Analizados: 29067

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Muchisimas gracias por vuestra ayuda!!!!

He conseguido eliminar lo de las ventanitas y ya vuelve a funcionar el ctrl alt sup

Muchisimas gracias!!!

Un saludo

Mensaje por **lucl** » 07 Oct 2008, 22:01

Bueno pues nos alegramos mucho y cerramos el tema dandolo por solucionado, vuelve cuando quieras, saludos

C:\WINDOWS\iexplore.html (SOLUCIONADO)

C:\WINDOWS\iexplore.html (SOLUCIONADO)

Re: C:\WINDOWS\iexplore.html

Re: C:\WINDOWS\iexplore.html

Re: C:\WINDOWS\iexplore.html

Re: C:\WINDOWS\iexplore.html

Re: C:\WINDOWS\iexplore.html

Re: C:\WINDOWS\iexplore.html

Re: C:\WINDOWS\iexplore.html

Re: C:\WINDOWS\iexplore.html

Re: C:\WINDOWS\iexplore.html

Re: C:\WINDOWS\iexplore.html

Re: C:\WINDOWS\iexplore.html