Tengo un virus CiD, que me genera paginas Web

[viguerbo]

Hola de nuevo a todos.

El pasado domingo 28/9, puse un post que os indicaba el problema con el virus CiD, que me genera aleatoriamente paginas Web, cuando estoy con el Explorer abierto.

El post que puse es: https://foros.zonavirus.com/viewtopic.php?f=5&t=26271

Como soy bastante "lerdo" en estos temas, creí que ya lo tenia solucionado, con haber estado media hora navegando.

Al dia siguiente, me vovió a salir.

Vuelvo a molestaros para ver como eliminarlo de mi PC.

Antes de escribir el actual post. He pasado en modo seguro, el [u]ElistarA[/u], he tomado los datos del Infosat, que son los siguentes:





Sun Oct 05 11:24:13 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Oct 05 11:27:43 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4361

Nº Total de Ficheros: 62255

Nº de Ficheros Analizados: 15992

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Y después le he pasado el [u]Elitriip[/u], con los siguentes resultados en el Infosat:



Sun Oct 05 11:24:13 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Oct 05 11:27:43 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4361

Nº Total de Ficheros: 62255

Nº de Ficheros Analizados: 15992

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Oct 05 11:45:35 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Oct 05 11:46:25 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Oct 05 11:46:27 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4360

Nº Total de Ficheros: 62262

Nº de Ficheros Analizados: 15675

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Termino asegurando que esta vez no dejo el tema terminado hasta que vosotros me indiqueís.

Gracias de nuevo por vuestro interés y perdón por volveros a molestar.

Victor Guerra.

[lucl]

Pues ahora peganos log de sprocess que funciona asi, lo ejecutas y veras que se abre una ventana con procesos. No toques nada y dale a salir, luego vas a Inicio---mi pc----C y alli buscas un archivo que se llamara sproclog.txt, ese es el que debes pegarnos, saludos



http://www.zonavirus.com/descargas/sproces.asp

[viguerbo]

Hola Lucl.

Tengo ya el archivo SProcLog.

Os lo pego aquí:



Sun Oct 05 16:39:41 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPLPR.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\WINDOWS\SYSTEM32\TPSMAIN.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSHIBA APPLET\THOTKEY.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\CONFIGFREE\NDSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSHIBA ZOOMING UTILITY\SMOOTHVIEW.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\PADTOUCH\PADEXE.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSHIBA CONTROLS\TFNCKY.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSCDSPD\TOSCDSPD.EXE

C:\WINDOWS\SYSTEM32\TPSBATTM.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\CONFIGFREE\CFSVCS.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\EPSON\EBAPI\SAGENT2.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\USNSVC.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\VICTOR GUERRA\ESCRITORIO\HERRAMIENTAS\ANTIVIRUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.electronicaviguer.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [LaunchList] E:\Archivos de programa\LaunchList2.exe

O4 - HKCU\..\Run: [aim bleh] C:\DOCUME~1\VICTOR~1\DATOSD~1\LISTME~1\rule wait name.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [THotkey] C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [SmoothView] C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [PadTouch] "C:\Archivos de programa\TOSHIBA\PadTouch\PadExe.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [locks tick title proc] C:\Documents and Settings\All Users\Datos de programa\bags readme locks tick\up keep.exe

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217356355673

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_04) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38159.0115393519

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} (Java Plug-in 1.4.2_04) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.5.3.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: AWISp50 NDIS Protocol Driver (AWISp50) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\SYSTEM32\Drivers\AWISp50.sys

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: TOSHIBA Network Device Usermode I/O Protocol (Netdevio) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\netdevio.sys

O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: TOSHIBA V92 Software Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Service for WDM 3D Audio Driver (ALCXSENS) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\ALCXSENS.SYS

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Atheros Wireless Network Adapter Service (AR5211) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5211.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - E:\Archivos de programa\Ares\chatServer.exe (file missing)

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyDelay - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: Pinnacle Marvin Bus (MarvinBus) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\MarvinBus.sys

O23 - Service: Low level access layer for CD devices (Pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\Pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Ralink 802.11n USB Wireless LAN Card Driver (rt2870) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\rt2870.sys

O23 - Service: Realtek RTL8139/810x/8169/8110 all in one NDIS NT Driver (RTL8023) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnic51.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SMC IrCC Miniport Device Driver (SMCIRDA) - SMC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tiumfwl - Texas Instruments Inc. - C:\WINDOWS\SYSTEM32\drivers\tiumfwl.sys

O23 - Service: Toshiba Mobile PC Service (TVALD) - Toshiba Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NBSMI.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



39 Servicios.

13 de Carga Automatica.

23 de Carga Manual.

3 Deshabilitados.



Gracias por vuestro interés.

Victor Guerra.

[lucl]

Esto sabes a que corresponde?





O4 - HKCU\..\Run: [aim bleh] C:\DOCUME~1\VICTOR~1\DATOSD~1\LISTME~1\rule wait name.exe





O4 - HKLM\..\Run: [locks tick title proc] C:\Documents and Settings\All Users\Datos de programa\bags readme locks tick\up keep.exe



saludos

[viguerbo]

La verdad no tengo ni idea de ello.

Gracias por estar ahí.

Victor Guerra.

[lucl]

Pues subelos a analizar a virustotal y si dan viricos nos pegas el log resultantes y nos los envias para analizarlos,los que te marco en negrita





www.virustotal.com/es



O4 - HKCU\..\Run: [aim bleh] C:\DOCUME~1\VICTOR~1\DATOSD~1\LISTME~1\rule wait [b]name.exe[/b]





O4 - HKLM\..\Run: [locks tick title proc] C:\Documents and Settings\All Users\Datos de programa\bags readme locks tick\up [b]keep.exe[/b]



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos

[viguerbo]

Bueno, lo he hecho.

Los resultados te los paso a continuación.

El archivo C:\DOCUME~1\VICTOR~1\DATOSD~1\LISTME~1\rule wait name.exe

Lleva dentro otros cuatro archivos que he sacado con el "virustotal"

Vá la información de cada uno de los 5 archivos. la separo con ----, para distinguirlas.

Muchas gracias de nuevo.

--------------------------------------------------------------------------------------------------------------------------

Análisis del archivo up_keep.exe recibido el 05.10.2008 22:53:29 (CET) Estado actual: análisis terminado Resultado: 1/36 (2.78%) Compactar Imprimir resultados Motor antivirus Versión Última actualización Resultado AhnLab-V3 2008.10.3.2 2008.10.03 - AntiVir 7.8.1.34 2008.10.04 - Authentium 5.1.0.4 2008.10.05 - Avast 4.8.1248.0 2008.10.04 - AVG 8.0.0.161 2008.10.05 - BitDefender 7.2 2008.10.05 - CAT-QuickHeal 9.50 2008.10.04 - ClamAV 0.93.1 2008.10.05 - DrWeb 4.44.0.09170 2008.10.05 - eSafe 7.0.17.0 2008.10.05 - eTrust-Vet 31.6.6129 2008.10.04 - Ewido 4.0 2008.10.05 - F-Prot 4.4.4.56 2008.10.05 - F-Secure 8.0.14332.0 2008.10.05 - Fortinet 3.113.0.0 2008.10.04 - GData 19 2008.10.05 - Ikarus T3.1.1.34.0 2008.10.05 Trojan- Downloader.Win32.Swizzor K7AntiVirus 7.10.484 2008.10.04 - Kaspersky 7.0.0.125 2008.10.05 - McAfee 5398 2008.10.04 - Microsoft 1.4005 2008.10.05 - NOD32 3495 2008.10.04 -



Norman 5.80.02 2008.10.03 - Panda 9.0.0.4 2008.10.05 - PCTools 4.4.2.0 2008.10.05 - Prevx1 V2 2008.10.05 - Rising 20.63.62.00 2008.09.28 - SecureWeb- Gateway 6.7.6 2008.10.05 - Sophos 4.34.0 2008.10.05 - Sunbelt 3.1.1668.1 2008.09.24 - Symantec 10 2008.10.05 - TheHacker 6.3.1.0.101 2008.10.04 - TrendMicro 8.700.0.1004 2008.10.03 - VBA32 3.12.8.6 2008.10.05 - ViRobot 2008.10.4.1406 2008.10.04 - VirusBuster 4.5.11.0 2008.10.05 - Información adicional Tamano archivo: 5377024 bytes MD5...: 8d0a7e8239f7c867955ef9aa21259b71 SHA1..: 8e068a831f9fc83c3621988f2f834f576b010f9a SHA256: 72d514e9b0627db332027de145d6484d3ce185aef57efab223f326b196ed74be SHA512: 283378c3075612501d193e0eca1b62a3ded2db3fd566b152e8b0b42db83e12f0 f8f444e67c22a117159a881668a74efd90429b0da64ac9aafb6f5227bd29b027 PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401049 timedatestamp.....: 0x474cf762 (Wed Nov 28 05:06:42 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x493ef 0x49400 7.59 72de5ce1f7d791d560566271431d506c .rdata 0x4b000 0x1977c 0x12800 7.90 b1337b9c9007863b474eac0d6dd3d98c .data 0x65000 0x4bf8d4 0x4c0a00 8.00 65d2ab412dd5aee3970aacf67ed476e1 .rsrc 0x525000 0x4016 0x4200 4.27 44a6a838b12927171237cf1bf1945134 ( 5 imports ) > WININET.dll: InternetCheckConnectionW, InternetShowSecurityInfoByURLW, HttpQueryInfoA, HttpQueryInfoW, InternetCanonicalizeUrlA, InternetHangUp,



---------------------------------------------------------------------------------------------------------------------

Análisis del archivo zfazwunu.exe recibido el 05.10.2008 23:07:55 (CET) Estado actual: análisis terminado Resultado: 4/36 (11.12%) Compactar Imprimir resultados Motor antivirus Versión Última actualización Resultado AhnLab-V3 2008.10.3.2 2008.10.03 - AntiVir 7.8.1.34 2008.10.04 - Authentium 5.1.0.4 2008.10.05 W32/Swizzor-based.2!Maximus Avast 4.8.1248.0 2008.10.04 - AVG 8.0.0.161 2008.10.05 - BitDefender 7.2 2008.10.05 - CAT-QuickHeal 9.50 2008.10.04 Win32.Trojan.C2Lop.A.4 ClamAV 0.93.1 2008.10.05 - DrWeb 4.44.0.09170 2008.10.05 - eSafe 7.0.17.0 2008.10.05 - eTrust-Vet 31.6.6129 2008.10.04 - Ewido 4.0 2008.10.05 - F-Prot 4.4.4.56 2008.10.05 W32/Swizzor-based.2!Maximus F-Secure 8.0.14332.0 2008.10.05 - Fortinet 3.113.0.0 2008.10.04 - GData 19 2008.10.05 - Ikarus T3.1.1.34.0 2008.10.05 Trojan- Downloader.Win32.Swizzor K7AntiVirus 7.10.484 2008.10.04 - Kaspersky 7.0.0.125 2008.10.05 - McAfee 5398 2008.10.04 - Microsoft 1.4005 2008.10.05 - NOD32 3495 2008.10.04 -

Norman 5.80.02 2008.10.03 - Panda 9.0.0.4 2008.10.05 - PCTools 4.4.2.0 2008.10.05 - Prevx1 V2 2008.10.05 - Rising 20.63.62.00 2008.09.28 - SecureWeb- Gateway 6.7.6 2008.10.05 - Sophos 4.34.0 2008.10.05 - Sunbelt 3.1.1675.1 2008.09.27 - Symantec 10 2008.10.05 - TheHacker 6.3.1.0.101 2008.10.04 - TrendMicro 8.700.0.1004 2008.10.03 - VBA32 3.12.8.6 2008.10.05 - ViRobot 2008.10.4.1406 2008.10.04 - VirusBuster 4.5.11.0 2008.10.05 - Información adicional Tamano archivo: 508928 bytes MD5...: e52a38b27402c8af99057fc370c8adb0 SHA1..: f4d5999818851ed750a78e3437fa66034a852231 SHA256: 512ca9bec404116ddd16529204fab642d5a58ff8009075af49563b8a499e5971 SHA512: 0c73a390a59d2913daa32025c7ebce236eed2c5ae3bad631349378a995243a66 c2d28b15aa593e015e60cb00c6ffe6693b187ef4187a62ffcaf73e70a2747046 PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401049 timedatestamp.....: 0x474cf762 (Wed Nov 28 05:06:42 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x493ef 0x49400 7.59 72de5ce1f7d791d560566271431d506c .rdata 0x4b000 0x1977c 0x12800 7.90 b1337b9c9007863b474eac0d6dd3d98c .data 0x65000 0x1c01c 0x1c200 7.35 ea80db146ba8e28524f5ac0075bb4d06 .rsrc 0x82000 0x4016 0x4200 4.27 76e2a67cc69605f9594160c671d4f1a9 ( 5 imports ) > WININET.dll: InternetCheckConnectionW, InternetShowSecurityInfoByURLW, HttpQueryInfoA, HttpQueryInfoW, InternetCanonicalizeUrlA, InternetHangUp,



------------------------------------------------------------------------------------------------------------

Análisis del archivo uvyozlkg.exe recibido el 05.10.2008 23:05:55 (CET) Estado actual: análisis terminado Resultado: 6/36 (16.67%) Compactar Imprimir resultados Motor antivirus Versión Última actualización Resultado AhnLab-V3 2008.10.3.2 2008.10.03 - AntiVir 7.8.1.34 2008.10.04 - Authentium 5.1.0.4 2008.10.05 W32/Swizzor-based.2!Maximus Avast 4.8.1248.0 2008.10.04 - AVG 8.0.0.161 2008.10.05 - BitDefender 7.2 2008.10.05 - CAT-QuickHeal 9.50 2008.10.04 Win32.Trojan.C2Lop.F.4 ClamAV 0.93.1 2008.10.05 - DrWeb 4.44.0.09170 2008.10.05 - eSafe 7.0.17.0 2008.10.05 - eTrust-Vet 31.6.6129 2008.10.04 - Ewido 4.0 2008.10.05 - F-Prot 4.4.4.56 2008.10.05 W32/Swizzor-based.2!Maximus F-Secure 8.0.14332.0 2008.10.05 Trojan.Win32.Obfuscated.gen Fortinet 3.113.0.0 2008.10.04 - GData 19 2008.10.05 - Ikarus T3.1.1.34.0 2008.10.05 Virus.Trojan.Win32.Obfuscated K7AntiVirus 7.10.484 2008.10.04 - Kaspersky 7.0.0.125 2008.10.05 Trojan.Win32.Obfuscated.gen McAfee 5398 2008.10.04 - Microsoft 1.4005 2008.10.05 - NOD32 3495 2008.10.04 - Norman 5.80.02 2008.10.03 -

Panda 9.0.0.4 2008.10.05 - PCTools 4.4.2.0 2008.10.05 - Prevx1 V2 2008.10.05 - Rising 20.63.62.00 2008.09.28 - SecureWeb- Gateway 6.7.6 2008.10.05 - Sophos 4.34.0 2008.10.05 - Sunbelt 3.1.1675.1 2008.09.27 - Symantec 10 2008.10.05 - TheHacker 6.3.1.0.101 2008.10.04 - TrendMicro 8.700.0.1004 2008.10.03 - VBA32 3.12.8.6 2008.10.05 - ViRobot 2008.10.4.1406 2008.10.04 - VirusBuster 4.5.11.0 2008.10.05 - Información adicional Tamano archivo: 531456 bytes MD5...: 62622ddbcc9d65c15f8b1f70e17ba7c7 SHA1..: bf2a79b78e53d39581e22aa8dc8fab63ad30f4a2 SHA256: 60089f62523f3cd71e037ab4f02aa01d5173d79cf357b20727bdeebc8428385c SHA512: ec4295591cd27b3f56bfe6c1010553108d0077b0aab9e4f494cc257e3f37f415 1aacfa5000039c9c92770f0f173be274a00a9dc2e333162fbab6c38b9c43a430 PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401049 timedatestamp.....: 0x46cef2d9 (Fri Aug 24 15:01:45 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x527e1 0x52800 7.51 207d5e237896519b4d187adcb82a0c79 .rdata 0x54000 0x125ec 0x10400 7.86 db9b75515ca12b7d4eb01be40a9f92e0 .data 0x67000 0x1d09c 0x1d200 7.26 eac36a063bc7eaaeb0007338d0faec66 .rsrc 0x85000 0x1826 0x1a00 5.04 ec01922aaf1608f5b238b15084d5f470 ( 5 imports ) > USER32.dll: DialogBoxIndirectParamA, CreateMDIWindowA, CreateAcceleratorTableA, DragDetect, AppendMenuA, PostQuitMessage, wvsprintfA, RemovePropA, EnableWindow, SetDlgItemTextW,



----------------------------------------------------------------------------------------------------

Análisis del archivo rule_wait_name.exe recibido el 05.10.2008 23:03:51 (CET) Estado actual: análisis terminado Resultado: 7/35 (20%) Compactar Imprimir resultados Motor antivirus Versión Última actualización Resultado AhnLab-V3 2008.10.3.2 2008.10.03 - AntiVir 7.8.1.34 2008.10.04 - Authentium 5.1.0.4 2008.10.05 W32/Swizzor-based.2!Maximus Avast 4.8.1248.0 2008.10.04 - AVG 8.0.0.161 2008.10.05 - BitDefender 7.2 2008.10.05 - CAT-QuickHeal 9.50 2008.10.04 Win32.TrojanDownloader.Swizzor.4 ClamAV 0.93.1 2008.10.05 - DrWeb 4.44.0.09170 2008.10.05 - eSafe 7.0.17.0 2008.10.05 - eTrust-Vet 31.6.6129 2008.10.04 - Ewido 4.0 2008.10.05 - F-Prot 4.4.4.56 2008.10.05 W32/Swizzor-based.2!Maximus F-Secure 8.0.14332.0 2008.10.05 Trojan.Win32.Obfuscated.gen Fortinet 3.113.0.0 2008.10.04 - GData 19 2008.10.05 - Ikarus T3.1.1.34.0 2008.10.05 Trojan.Obfuscated K7AntiVirus 7.10.484 2008.10.04 - Kaspersky 7.0.0.125 2008.10.05 Trojan.Win32.Obfuscated.gen McAfee 5398 2008.10.04 - Microsoft 1.4005 2008.10.05 - Norman 5.80.02 2008.10.03 - Panda 9.0.0.4 2008.10.05 -

PCTools 4.4.2.0 2008.10.05 - Prevx1 V2 2008.10.05 - Rising 20.63.62.00 2008.09.28 - SecureWeb- Gateway 6.7.6 2008.10.05 - Sophos 4.34.0 2008.10.05 - Sunbelt 3.1.1675.1 2008.09.27 - Symantec 10 2008.10.05 - TheHacker 6.3.1.0.101 2008.10.04 - TrendMicro 8.700.0.1004 2008.10.03 - VBA32 3.12.8.6 2008.10.05 OScope.Trojan.BagsWay.C ViRobot 2008.10.4.1406 2008.10.04 - VirusBuster 4.5.11.0 2008.10.05 - Información adicional Tamano archivo: 460800 bytes MD5...: c6f602e4770a57ad9e058dd2d28f6776 SHA1..: b481486aa9676e6af399c5d20e7356d708ab6b9e SHA256: 3a3555dcc1de407237d17ddb6b9b211b5853a4e295153d2bcdc897e4a4d665b5 SHA512: 82d82ce71822e967fede857db4a4ac550fdc3113b1388aaf109a418bf81087bf 9154ca2a269cae9b59ac4967a85a82e0fdf709932ea14c07421f2e7149b66590 PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x41412d timedatestamp.....: 0x46c9789b (Mon Aug 20 11:18:51 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x45e36 0x46000 7.58 68e8e3f2ddc1918e4319f13c9be836af .rdata 0x47000 0xeaf0 0xb800 7.94 664a004b32e0875b461470aacfda20f9 .data 0x56000 0x194e8 0x19600 7.27 8b70fef9d61a210f762780c03c6e1720 .rsrc 0x70000 0x54bc 0x5600 4.19 eadf533516c6684c788bcb83560d01f0 ( 4 imports ) > comctl32.dll: CreatePropertySheetPageW, _TrackMouseEvent, ImageList_Destroy, InitCommonControlsEx, ImageList_GetImageRect > USER32.dll: CharToOemW, OpenDesktopW, EnumDisplayDevicesA, SetWindowsHookW, RegisterClassA, SetScrollPos, CreateWindowExA, RemovePropW, MessageBoxW, ShowWindow, RegisterClassExA, SetWindowRgn,



------------------------------------------------------------------------------------------------

Análisis del archivo Noun_bolt_mix_help.exe recibido el 05.10.2008 22:57:32

Estado actual: análisis terminado Resultado: 5/36 (13.89%) Compactar Imprimir resultados Motor antivirus Versión Última actualización Resultado AhnLab-V3 2008.10.3.2 2008.10.03 - AntiVir 7.8.1.34 2008.10.04 - Authentium 5.1.0.4 2008.10.05 W32/Swizzor-based.2! Maximus Avast 4.8.1248.0 2008.10.04 - AVG 8.0.0.161 2008.10.05 - BitDefender 7.2 2008.10.05 - CAT-QuickHeal 9.50 2008.10.04 Win32.Trojan.C2Lop.E.4 ClamAV 0.93.1 2008.10.05 - DrWeb 4.44.0.09170 2008.10.05 - eSafe 7.0.17.0 2008.10.05 - eTrust-Vet 31.6.6129 2008.10.04 - Ewido 4.0 2008.10.05 - F-Prot 4.4.4.56 2008.10.05 W32/Swizzor-based.2! Maximus F-Secure 8.0.14332.0 2008.10.05 - Fortinet 3.113.0.0 2008.10.04 - GData 19 2008.10.05 - Ikarus T3.1.1.34.0 2008.10.05 Trojan.Obfuscated K7AntiVirus 7.10.484 2008.10.04 - Kaspersky 7.0.0.125 2008.10.05 - McAfee 5398 2008.10.04 - Microsoft 1.4005 2008.10.05 - NOD32 3495 2008.10.04 -

Norman 5.80.02 2008.10.03 - Panda 9.0.0.4 2008.10.05 - PCTools 4.4.2.0 2008.10.05 - Prevx1 V2 2008.10.05 - Rising 20.63.62.00 2008.09.28 - SecureWeb- Gateway 6.7.6 2008.10.05 - Sophos 4.34.0 2008.10.05 - Sunbelt 3.1.1675.1 2008.09.27 - Symantec 10 2008.10.05 - TheHacker 6.3.1.0.101 2008.10.04 - TrendMicro 8.700.0.1004 2008.10.03 - VBA32 3.12.8.6 2008.10.05 OScope.Trojan.BagsWay.C ViRobot 2008.10.4.1406 2008.10.04 - VirusBuster 4.5.11.0 2008.10.05 - Información adicional Tamano archivo: 311808 bytes MD5...: 19fe5846e25e22c8e93e6e1e72b249bf SHA1..: 970ae7aed0bb32ede20dd9d426814ae866e58bde SHA256: fb6907265e704dc24942051e2ee822e2d58c13774d1c85daac1a2b5e53a85885 SHA512: 419c3fece6ad3abe06515975f1cd58b0ac96e1d7b0093f0bb13172b884db33c9 9da98e91d884b574993bd14a9f5a806ba2a0ff727eb8b09f29eb511407718829 PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401000 timedatestamp.....: 0x4727366f (Tue Oct 30 13:49:35 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2d57c 0x2d600 7.21 383ec1fdddfedd8eb2970d0fe18a73e6 .rdata 0x2f000 0x5900 0x3400 7.35 6557a9666102164265a2659643a1cefe .data 0x35000 0x15571 0x15600 7.21 303b9c2db914226c9defa2066b253da7 .rsrc 0x4b000 0x5c2c 0x5e00 4.81 6b1aa9cda7a9de51c6046936c04a0c43 ( 6 imports ) > comctl32.dll: ImageList_LoadImageW, InitCommonControlsEx, ImageList_SetDragCursorImage, ImageList_AddMasked,



---------------------------------------------------------------------------------------------

Lo tengo guardado en formato Microsoft Office Document Imaging. No se me ha permitido enviarlos como adjuntos.

Quedo en vuestras manos para lo que creaís conveniente.

Victor Guerra.

[msc hotline sat]

Pues como indica lucl, envianoslos para analizar e implementaremos su control y eliminacion en la proxima version del ELISTARA, de lo cual informaremos



up_keep.exe

uvyozlkg.exe

rule_wait_name.exe

Noun_bolt_mix_help.exe



De momento renombra la extension de dichos ficheros a .VIR para que no se pongan en marcha a partir del proximo reinicio



saludos



ms, 6 -10-2008







NOTA: Para enviarlos, empaquetalos en un ZIP o RAR con password "virus" y sigue las instrucciones de link https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[viguerbo]

Hola de nuevo.

No he sido capaz de localizarlos, para renombralos.

He utilizado "Buscar" desde "Inicio", opción, buscar carpetas y archivos ocultos.

Me podrias indicar como pillarlos para renonbrarlos y comprimirlos.

Perdonarme lo lerdo que soy.

Espero que para un próximo problema, no os dé tanta lata con estos pasos.

Gracias anticipadas.

Victor Guerra.

[lucl]

Muy facil mira sigue la ruta por ejemplo





C:\DOCUME~1\VICTOR~1\DATOSD~1\LISTME~1\rule wait name.exe





Ve a [b]C[/b] a [b]documents and settingS [/b]a [b]VICTOR-1[/b] a [b]DATOSD[/b] a [b]LISTME-1[/b] y alli dentro tiene que estar rule wait name.exe





cambiale la extension exe por VIR con el boton derecho del raton, nos cuentas si pudiste saludos

[msc hotline sat]

Por si estuvieran ocultos y por esto no los vieras:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 7-10-2008

[viguerbo]

MUCHISIMAS GRACIAS.

He localizado los cuatro archivos ocultos siguiendo vuestras intrucciónes.

Los he renombrado Vir.

He enviado las muestras comprimidas.

Ya me indicareis el siguiente paso.

Gracias de nuevo.

Victor Guerra.

[lucl]

Pues ahora ya tan solo queda esperar a que mañana te digan algo al respecto estate atento al post, saludos

[msc hotline sat]

Recibidos los ficheros en cuestion.



En todos se detectan rutinas viricas, SWIZZOR, DOWNLOADERS, etc



Los monitorizaremos e informaremos cuando los implementemos en nuestras utilidades, de lo cual informaremos.



saludos



ms, 8-10-2008