Saludos y duda (SOLUCIONADO)

[Naso7]

Hace bastante poco conseguí quitar un par de gusanos gracias a este foro pero me sigue dando problemas. Ando sin antivirus y creo que todavai me falta algo por limpiar. Os dejo mi log y a ver si me podeis echar una mano. Gracias!



Logfile of HijackThis v1.99.1

Scan saved at 21:09, on 2008-10-23

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe

C:\Archivos de programa\Logitech\QuickCam\Quickcam.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Archivos de programa\DAEMON Tools Lite\daemon.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSync2.exe

C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\AppServ\Apache2\bin\Apache.exe

C:\Archivos de programa\Catia\intel_a\code\bin\CATSysDemon.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\AppServ\Apache2\bin\Apache.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Archivos de programa\Archivos comunes\Nokia\MPAPI\MPAPI3s.exe

C:\Archivos de programa\Archivos comunes\Logishrd\LQCVFX\COCIManager.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\Propietario\Mis documentos\Pepe\Internet\setups\problemas con nod32\elistara.exe

C:\Documents and Settings\Propietario\Mis documentos\Pepe\Internet\setups\problemas con nod32\elibagla.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propietario\Mis documentos\Pepe\Internet\setups\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: (no name) - {CB789373-04D5-4ef4-9C16-871463FD0830} - (no file)

O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [IdiomaX Office] C:\Archivos de programa\IdiomaX\Office Translator 5.0\IdxOffice.exe

O4 - HKLM\..\Run: [IdiomaX Product Update] C:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\IdxLUpdate.exe /AUTOSTART

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdmny.exe] C:\WINDOWS\system32\kdmny.exe

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Creative Detector] "C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe" /R

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe

O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: &DownloadStudio - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: DownloadStudio - {7FCA7BD7-8F4D-4a81-BE72-A470F4E517D5} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .wm: C:\Documents and Settings\Propietario\Mis documentos\Pepe\Pagina web\Program\PLUGINS\npdsplay.dll

O12 - Plugin for .wmv: C:\Documents and Settings\Propietario\Mis documentos\Pepe\Pagina web\Program\PLUGINS\npdsplay.dll

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,90/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://irenita3irenita3.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://irenita3irenita3.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,25/mcgdmgr.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apache2 - Unknown owner - C:\AppServ\Apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Backbone Service (BBDemon) - Unknown owner - C:\Archivos de programa\Catia\intel_a\code\bin\CATSysDemon.exe" -service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

[msc hotline sat]

De entrada vemos dos claves sospechosas:



O4 - HKLM\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe



O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdmny.exe] C:\WINDOWS\system32\kdmny.exe





Envianos estos dos ficheros para analizar





[b][i]C:\WINDOWS\system32\dllcache\iexplore.exe



C:\WINDOWS\system32\kdmny.exe [/i][/b]





Cuidado que no sea otro iexplore.exe, el que interesa es el de la carpeta indicada.





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 23-10-2008

[Naso7]

Ya he enviado "iexplore.exe" pero no consigo encontrar "kdmny.exe" en la ruta indicada peri sí que lo he hecho en la carpeta muestras del elistara. ¿Os lo mando igualmente?. Gracias

[flacoroo]

si mandalo, comprimelo y ponle la contraseña virus y en la parte de arriba dice envio de muestras....

aun asi pasa las herramienta de elistara, elitriip y elinotif mas actualizado

[msc hotline sat]

Este que no encuentras se lanza en el registro desde la carpeta de sistema:



C:\WINDOWS\system32\kdmny.exe



mira que no esté oculto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 24-10-2008

[msc hotline sat]

El iexplore.exe que nos has enviado es el normal de microsoft, que puedes tener en otras carpetas, pero el que te pediamos, que esta siendo lanzado desde la carpeta de ddllcache es el que puede contener un FORBOT...



Comprueba que lo hayas copiado de dicha carpeta, y si no ha sido así, envianoslo de nuevo pero asegurante que sea el que se lanza en esta clave:



O4 - HKCU\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe



saludos



ms, 24-10-2008

[Naso7]

Sí, el iexplore estaba en la carpeta que me indicasteis y el kdmny.exe no lo encuentro ni utilizando lo de visualizar archivos ocultos. Borro las entradas de registro de ambos archivos??

[Naso7]

El problema es que, por ejemplo, la carpeta dllcache no me sale a simple vista ni aun teniendo habilitado lo de ver archivos y carpetas ocultos y solo consigo llegar a ella a través de la barra de direcciones. El problema del kdmny.exe es que si lmeto la ruta en la barra de direcciones se me ejcutaria sin saber si es realmente un virus, no?

[msc hotline sat]

Por acceder a la carpeta no se ejecutan.



Entonces desactiva el antivirus, y con un Copiar y Pegar lo copias a la carpeta C:\muestras por ejemplo, y desde alli luego nos los envias



saludos



ms, 24-10-2008

[Naso7]

Nada, ni introduciendo la ruta consigo encontrar el archivo. Os mando el que se me guardó en la carpeta muestras que, al parecer, es una muestra del archivo sospechoso. Gracias!

[lucl]

Pues el lunes te diran algo sobre el envio, estate atento al post saludos

[msc hotline sat]

Y mientras, para ir adelantando, puedes subir dicho fichero al VIRUSTOTAL ( www.virustotal.com/es ) y nos posteas el informe resultante, asi sabremos si es el realmente malware.



saludos



ms, 26-10-2008

[Naso7]

Aqui os dejo el analisis de Virustotal. Para mi que no es demasiado bueno el archivo...



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.10.24.3 2008.10.26 -

AntiVir 7.9.0.9 2008.10.25 TR/Crypt.XPACK.Gen

Authentium 5.1.0.4 2008.10.26 -

Avast 4.8.1248.0 2008.10.25 Win32:KdCrypt

AVG 8.0.0.161 2008.10.26 Adload_r.AH

BitDefender 7.2 2008.10.26 -

CAT-QuickHeal 9.50 2008.10.25 Win32.Trojan.Alureon.gen.4

ClamAV 0.93.1 2008.10.26 -

DrWeb 4.44.0.09170 2008.10.26 -

eSafe 7.0.17.0 2008.10.26 -

eTrust-Vet 31.6.6168 2008.10.25 -

Ewido 4.0 2008.10.26 -

F-Prot 4.4.4.56 2008.10.26 W32/Virtumonde.T.gen!Eldorado

F-Secure 8.0.14332.0 2008.10.26 Vundo.gen239

Fortinet 3.113.0.0 2008.10.26 W32/DNSChanger.AQ!tr

GData 19 2008.10.26 Win32:KdCrypt

Ikarus T3.1.1.44.0 2008.10.26 -

K7AntiVirus 7.10.508 2008.10.26 -

Kaspersky 7.0.0.125 2008.10.26 -

McAfee 5415 2008.10.25 DNSChanger.gen.a

Microsoft 1.4005 2008.10.26 Trojan:Win32/Alureon.gen

NOD32 3556 2008.10.26 a variant of Win32/Adware.Virtumonde.NBS

Norman 5.80.02 2008.10.24 Vundo.gen239

Panda 9.0.0.4 2008.10.26 -

PCTools 4.4.2.0 2008.10.26 -

Prevx1 V2 2008.10.26 -

Rising 21.00.62.00 2008.10.26 Trojan.Win32.DNSChanger.drb

SecureWeb-Gateway 6.7.6 2008.10.25 Trojan.Crypt.XPACK.Gen

Sophos 4.35.0 2008.10.26 Sus/Behav-282

Sunbelt 3.1.1753.1 2008.10.25 -

Symantec 10 2008.10.26 -

TheHacker 6.3.1.1.129 2008.10.25 -

TrendMicro 8.700.0.1004 2008.10.24 -

VBA32 3.12.8.8 2008.10.25 suspected of Trojan-Downloader.Agent.31

ViRobot 2008.10.24.1436 2008.10.24 -

VirusBuster 4.5.11.0 2008.10.26 -

Información adicional

Tamano archivo: 50176 bytes

MD5...: d4885c47f47e4118316c8eb120ee94a4

SHA1..: 215db5c6bc6d36b9226301c672867d6a8454fd5b

SHA256: 60a7645db13cbb5625d7063b204cabf0ad8065ca3e2a61732d5eb3086940e822

SHA512: 7a761625724cbe8894a94ee893c17614ae606178ca858549627460a4584a1ccb

8e32a55a55721cf93dbbbf9219a09d083e390e2e823c916b411058f354ca326d

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

VXD Driver (0.1%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x40102b

timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)

machinetype.......: 0x14c (I386)



( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.code 0x1000 0xca4 0x400 6.69 f77d325a837bb509bee6cc8f4e175ef0

.code1 0x2000 0x1ce7 0x1e00 7.04 c9f10f397fe2d184b42b38ff1afaf1b5

.rdata 0x4000 0xfa0 0x200 1.15 214223b5940459ffd96d336a55ac382f

.rsrc 0x5000 0x10f6b 0x9c00 7.99 04b97c7eca2420590d6cb085bfb77f56



( 2 imports )

> user32.dll: MessageBoxA

> kernel32.dll: ExitProcess



( 0 exports )

[msc hotline sat]

Pues desde luego que es un malware.



De momento renombra la extension de dicho fichero, supongo que es el kdmny.exe , a .VIR, para que no se ponga en ujso a partir del proximo reinicio.



Y tras reiniciar dinos si persisten anomalias, pues el nombre que dan algunos a este malware es sintomatico de que altera los servicores de DNS a los que accede para navegar...



McAfee 5415 2008.10.25 DNSChanger.gen.a



pero otros lo denominan VUNDO, conocida familia de downloaders que podrían descargar nuevos malwares de webs de internet...



De momento renombrando su extension quedará aparcado, y mañana, tras monitorizarlo, sabremos a qué atenernos.



saludos



ms, 26-10-2008

[msc hotline sat]

Recibido el fichero muestra para analizar, implementamos su control y eliminacion en el ELISTARA de hoy17.27 como FLUSH DBS Change



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





saludos



ms, 27-10-2008

[Naso7]

Aquí teneis el infosat, bien de virus que tenía :): Saludos!





Sat Aug 09 13:10:10 2008

EliBagle v11.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Aug 09 13:10:11 2008

EliBagle v11.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sat Aug 09 13:10:22 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Aug 09 13:10:39 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Propietario\Mis documentos\Pepe\Internet\setups\ITUNESSETUP.EXE --> Eliminado, PWCrack-Pwdump(dropper)



Nº Total de Directorios: 13492

Nº Total de Ficheros: 308276

Nº de Ficheros Analizados: 20159

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Nº Total de Directorios: 13492

Nº Total de Ficheros: 308276

Nº de Ficheros Analizados: 39721

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Tue Aug 26 15:12:34 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.45,85.255.112.111

No detectado SP3 de Windows XP

Sistema Infectado por el Flush o DNSChanger

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Aug 26 15:15:40 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.45,85.255.112.111

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Aug 26 15:15:52 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 20

Nº Total de Ficheros: 391

Nº de Ficheros Analizados: 163

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Sistema Infectado por el Flush o DNSChanger

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.07.30 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Flush o DNSChanger

Desinstalado EliNotif.dll



Tue Aug 26 15:21:46 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\KDMNY.EXE.Muestra EliStartPage v16.59

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KDMNY.EXE --> Eliminado

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.45,85.255.112.111

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Aug 26 15:21:58 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 13750

Nº Total de Ficheros: 309100

Nº de Ficheros Analizados: 40281

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Aug 26 15:49:20 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 13750

Nº Total de Ficheros: 309102

Nº de Ficheros Analizados: 40281

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Aug 29 13:59:39 2008

EliBagle v11.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Aug 29 13:59:40 2008

EliBagle v11.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Aug 29 14:00:17 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.45,85.255.112.111

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Aug 29 14:00:29 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 525

Nº Total de Ficheros: 6723

Nº de Ficheros Analizados: 597

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri Aug 29 14:04:17 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.45,85.255.112.111

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Aug 29 14:04:27 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 13754

Nº Total de Ficheros: 309039

Nº de Ficheros Analizados: 20601

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Nº Total de Directorios: 13754

Nº Total de Ficheros: 309039

Nº de Ficheros Analizados: 40298

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 23 21:03:40 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.45,85.255.112.111



Thu Oct 23 21:04:11 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 23 21:04:17 2008

EliStartPage v16.59 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Oct 23 21:04:22 2008

EliBagle v11.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Oct 23 21:04:30 2008

EliBagle v11.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1502

Nº Total de Ficheros: 31134

Nº de Ficheros Analizados: 7751

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Nº Total de Directorios: 1456

Nº Total de Ficheros: 26375

Nº de Ficheros Analizados: 7858

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Tue Oct 28 12:55:41 2008

EliStartPage v17.27 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 28 12:56:33 2008

EliStartPage v17.27 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\KDMNY.EXE.MUESTRA ELISTARTPAGE V16.59 --> Eliminado, Flush(dldr)

C:\WINDOWS\system32\WINDRVNT.SYS --> Eliminado, RiskTool.FolderLock

C:\Documents and Settings\Propietario\Mis documentos\Pepe\Internet\setups\DAEMON4123-LITE.EXE --> Eliminado, Zlob.Rich.B(dropper)

C:\Documents and Settings\Propietario\Mis documentos\Pepe\Internet\setups\EMULE0.49B-INSTALLER1.EXE --> Eliminado, Zlob.Rich.B(dropper)

C:\Archivos de programa\Ahead\Nero MediaHome\NMSTRANSCODER.EXE --> Eliminado, MyWebSearch

C:\Archivos de programa\eMule\UNINSTALL.EXE --> Eliminado, Zlob.Rich.B(dropper)

C:\Archivos de programa\DAEMON Tools Lite\UNINST.EXE --> Eliminado, Zlob.Rich.B(dropper)

C:\System Volume Information\_restore{4BEF7F1B-2E0E-479A-BCE3-918031A562E1}\RP414\A0046362.SYS --> Eliminado, RiskTool.FolderLock

C:\System Volume Information\_restore{4BEF7F1B-2E0E-479A-BCE3-918031A562E1}\RP414\A0046363.EXE --> Eliminado, MyWebSearch

C:\System Volume Information\_restore{4BEF7F1B-2E0E-479A-BCE3-918031A562E1}\RP414\A0046364.EXE --> Eliminado, Zlob.Rich.B(dropper)

C:\System Volume Information\_restore{4BEF7F1B-2E0E-479A-BCE3-918031A562E1}\RP414\A0046365.EXE --> Eliminado, Zlob.Rich.B(dropper)

C:\System Volume Information\_restore{4BEF7F1B-2E0E-479A-BCE3-918031A562E1}\RP350\A0035125.EXE --> Eliminado, Flush(dldr)



Nº Total de Directorios: 14117

Nº Total de Ficheros: 316104

Nº de Ficheros Analizados: 44682

Nº de Ficheros Infectados: 12

Nº de Ficheros Limpiados: 12



Tue Oct 28 13:11:56 2008

EliStartPage v17.27 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[lucl]

Bien pues dinos si ahora ya esta bien tu pc, saludos

[Naso7]

De momento no me ha dado ningun problema. Muchas gracias!

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 28-10-2008