AVG inutilizado por un virus

[paloma]

Buenos días:

Brevemento expongo mi problema. Tengo-tenía instalado el antiv.AVG. Mi hijo abrió "algo" en el messenger de un amigo que le decía "míra esta foto" o algo así y desde ese momento el antivirus no se puede ejecutar. Pienso, vale desinstalo el AVG y me lo bajo otra vez. Entonces lo que ocurre es que cuando intento acceder a cualquier página de internet que sea de descarga de antivirus, scanner online, o similar, me dice que no se puede acceder a la página porque el "víncluo esta roto". En el resto de páginas funciona perfectamente, es sólo con las páginas que contengan algo de antivirus: he probado de todo y nada. He probado a ejecutara el AVG desde el pen y tampoco se puede. No sé. ¿Podéis echarme una mano?. Gracias

[msc hotline sat]

Son tipicos virus de MSN



Prueba estas dos utilidades y nos posteas el resultado:




[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote]



saludos



ms, 3-11-2008

[paloma]

De acuerdo, en cuanto lo haga os comento el resultado. Saludos.

[msc hotline sat]

Y s i aun no fuera conocido, con el SPROCES generaremos log para ver posibles sospechosos que le pediriamos nos enviara para analizar:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 4-11-2008

[paloma]

Claro, Tampoco podía entrar en vuestra página para bajar las utilidades que me habías dicho, así que me he discurrido entrar en zonavirus con otro ordenador, descargar las susodichas utilidades y enviármelas por correo, a través del correo las he podido ejecutar en mi ordenador, pero el ElistarA no se ha dejado adjuntar al correo por amenaza de virus :shock: Ahora he intentado desde aquí y me dice lo de que no encuentra la página pero ahora en inglés.

He querido también ejecutar la utlidad del ¿Bagle se llama? porque he leído por aquí que no permite arrancar en prueba de fallos y como a mi tampoco me arranca he pensado que también lo tendría, pero también me dice lo de la página. Aquí te adjunto lo que dice el Sproces:



Wed Nov 05 18:30:18 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVCOMSER\LVCOMSER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVMVFM\LVPRCSRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVCOMSER\LVCOMSER.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TME3\TMESBS32.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\PMPROXY.EXE

C:\WINDOWS\SYSTEM32\00THOTKEY.EXE

C:\WINDOWS\SYSTEM32\TPWRTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TME3\TMESBS32.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSHIBA CONTROLS\TFNCKY.EXE

C:\WINDOWS\SYSTEM32\TFNF5.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\WIRELESS HOTKEY\TOSHKCW.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPLPR.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOUCHED\TOUCHED.EXE

C:\ARCHIVOS DE PROGRAMA\SUPPORT.COM\BIN\TGCMD.EXE

C:\ARCHIVOS DE PROGRAMA\BROTHER\BRMFCMON\BRMFCWND.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LCOMMGR\COMMUNICATIONS_HELPER.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\QUICKCAM\QUICKCAM.EXE

C:\ARCHIVOS DE PROGRAMA\BROTHER\CONTROLCENTER3\BRCCMCTL.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\BROTHER\BRMFCMON\BRMFCMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LQCVFX\COCIMANAGER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE TOOLBAR\MSN_SL.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\usuario\ruw.exe \s

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll (file missing)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [PmProxy] C:\Archivos de programa\Analog Devices\SoundMAX\PmProxy.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 28

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [hcenter] "C:\Archivos de programa\Support.com\bin\tgcmd.exe" /server /startmonitor

O4 - HKLM\..\Run: [BrMfcWnd] C:\Archivos de programa\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM\..\Run: [ControlCenter3] C:\Archivos de programa\Brother\ControlCenter3\brctrcen.exe /autorun

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [Symantec Remote Services] symrdserv.exe

O4 - HKLM\..\Run: [uehhifr] C:\WINDOWS\system32\uehhifr.exe \u

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://193.252.201.82/activex/AMC.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5214/mcfscan.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll (file missing)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

Activada Restricción del COMMAND.COM (disableCMD)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: LVCOMSer - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: Brother USB Still Image driver (BrScnUsb) - Brother Industries Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\BrScnUsb.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Logitech LVPr2Mon Driver (LVPr2Mon) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVPr2Mon.sys

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVUSBSta.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Service (Passthru) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ndisio.sys

O23 - Service: pciSd - TOSHIBA - C:\WINDOWS\SYSTEM32\DRIVERS\tossdpci.sys

O23 - Service: Logitech QuickCam IM(PID_PEPI) (PID_PEPI) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LV302V32.SYS

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\R8139n51.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SMC IrCC Miniport Device Driver (SMCIRDA) - SMC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TOSHIBA Software Modem (TOSHIBASoftModem) - LT - C:\WINDOWS\SYSTEM32\DRIVERS\LTSM.sys

O23 - Service: TOSHIBA SD Card Host Controller Driver (tsdhd) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tsdhd.sys

O23 - Service: Wireless LAN PCCard Driver (wlags48b) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\wlags48b.sys

O23 - Service: Wireless LAN PC Card Driver (wlluc48) - Lucent Technologies - C:\WINDOWS\SYSTEM32\DRIVERS\wlluc48.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



30 Servicios.

7 de Carga Automatica.

20 de Carga Manual.

3 Deshabilitados.

[msc hotline sat]

Pues vemos de entrada que le faltan parches:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



Cuando pueda, lance un windowsupdate e instale el SP3 y los posteriores que encuentre a faltar...





Luego, vemos este fichero sospechoso, posiblemente malware:





C:\WINDOWS\SYSTEM32\DRIVERS\ndisio.sys



y como que recuerdo que hoy hemos recibido muestras de uno con el mismo nombre, pruebe en 10 minutos la nueva version del ELISTARA 17.33 que subiré cuando deje este Tema.



Ya sabemos que el AVG tiene un falso positivo con el ELISTARA, desactive dicho antivirus AVG, tanto para descargar el ELISTARA como para probarlo, sino no podrá, pero repito, es un problma del AVG ya conocido (falso positivo)



Y si la nueva version indicada no detectara este ndisio.sys , envienoslo para analizar, pues puede tratarse de otra variante...



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Saludos



ms, 4-11-2008







NOTA: Por cierto, dicho fichero sospechoso tiene atributos de oculto y de sistema, por lo cual no se ve normalmente, vea:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





y no se confunda con el que tiene nombre parecido en la misma carpeta, el NDISIUIO,SYS, que es del sistema operativo !!!

[paloma]

Hola de nuevo:

Acabo de leer tu mensaje, pero el AVG ya lo desinstalé....

Y otra cosa ¿qué hago con ese archivo maligno?, ¿lo borro a lo bestia, de dónde, de donde está en el C:?, así sin más?

Lo siento soy bastante inepta.

[msc hotline sat]

A ver, aver... que acabo de subir las versiones de hoy y es el ELITRIIP el que controla este NDISIO.SYS :



---v5.21---( 4 de Noviembre del 2008) (Muestras de Malware.Ndisio "NDISIO.SYS")





Asi que pruebe este, no el ELISTARA que deciamos:




[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

SALUDOS



ms, 4-11-2008

[paloma]

Una tontería, ¿me he delatado?, sí, soy mayor lo confieso, pero POR FAVOR NO ME HABLES DE USTED, que me deprimo...

Pero, si el Elitrip ya lo he pasado, voy a pasarlo otra vez no sea que sea diferente.

Ay Dios mío! ya tiene usted razón don hotline, en advertirme que tenga cuidado, que no borre lo que no debo, :lol: ; entre lo del usted y la advertencia para la abuela cebolleta no levanto cabeza...

Hasta luego hotline, voy a hacer las tareas que me HAS mandado y ya no sé si tendré tiempo hoy de más trajines, que menesteres domésticos me reclaman.

Un saludazo.

Paloma

[msc hotline sat]

El tratar de Vd es por respeto al interlocutor, pero no por la edad, pues posiblemente le gano... [img]http://forum.telecharger.01net.com/data/units/telecharger/smilies/6.gif[/img] y porque en el trabajo es costumbre hacerlo, al menos los viejos del lugar, aunque la juventid use la moda del "you", pero ...



De todas formas en el foro va como va, pues voy pensando en los virus, y a estos les trato de TU y les digo de todo !!! [img]http://www.satinfo.es/zonavirus/bronca.gif[/img]



Y ya nos irá contando sus progresos al respecto, parece que este NDISIO está de moda hoy, pues conociamos variantes de hace años, y de golpe hoy tenemos clientes de SATINFO (donde aun estoy trabajando) y usuarios del foro, con el mismo problema, por eso hemos recibido muestras de clientes con las que hemos implementado el control y eliminacion de la nueva variante, que podría ser la misma que la suya, ya nos contará...



saludos



ms, 4-12-2008

[msc hotline sat]

post publicado en otro apartado:



__________



paloma Asunto: Re: AGRADECIMIENTOS Y SATISFACCION DE LOS FOREROSPublicado: Mar Nov 04, 2008 6:43 pm





Usuario





Registrado: Dom Feb 20, 2005 11:54 pm

Mensajes: 23 Hola señor hotline, soy la de que no me hable de ustezzzzzzzzzzz. Maura63 no me ha contestado , pero si lo hace le daré recuerdos y que vuelva.

Ahora mismo dispóngome a hacer las tareas.

Paloma



____________



gracias Paloma, pero no alarguemos mas el otro apartado, que no es mas que para dejar agradecimientos cuando el Tema ya está cerrado.



Siga aqui si lo neecsita.



saludos



ms, 5-11-2008

[msc hotline sat]

Buenas noticias !



Ademas del NDISIO dichoso, a traves de otra incidencia cliente de SATINFO, hemos visto que tiene una clave muy sospechosa:



O4 - HKLM\..\Run: [Symantec Remote Services] symrdserv.exe



y como que los clientes de SATINFO solo usan McAfee... se le ha visto el plumero al bicho !



Envianos muestra de dicho fichero que posiblemente esté en la carpeta de sistema, C:\windows\system32\ y si es lo que pensamos (un dropper del NDISIO), lo implementaremos en la siguiente version del ELITRIIP, tras recibir dicha muestra, de lo cual informaremos



saludos



ms, 5-11-2008

[msc hotline sat]

Menudo follon !



No nos has enviado la muestra y suponemos el porqué ..



El fichero pedido es una variante de trojan Agent AUE que no solo oculta el fichero con atributos H. S. R , sino que ademas elimina la casilla de descocultacion de ocultos, desde windows !



Así, si no es bajo DOS no se puede ver, muy cucos !



Y este es el que genera el NDISIO.SYS y que ya controlamos con el actual ELITRIIP, pero se regenera debido a que no matabamos tambien al symrdserv.exe, el cual por la familia que es y lo que hace, vamos a controlar con el ELISTARA, que es con el que ya ahora lo podrás detectar y pedirá muestraa del ficheros que moverá a c:\muestras, el cual sí que veras.



Bueno, pues descarga la ultima version del ELISTARA 17.34 y veras como te pide enviar dicha muestra, hazlo y procederemos a controlarlo del todo en el siguiente ELISTARA, en lugar de hacerlo entre las dos utilidades, para asi facilitar el trabajo.




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



En cuanto puedas, envianoslo a ver si hoy mismo podemos zanjar el tema, gracias



Y si no funciona aun el metodo automatico, mira de hacerlo por el manual, como indicamos en:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 6-11-2008

[paloma]

Buenos días:

Veo nuevas instrucciones, pero es que no he tenido tiempo de ponerme al tema, por eso el retraso en ponerme en contacto.

Dos apuntes (estoy en el trabajo): no pude actualizar con windows update, después de ejecutar el elitrip pude acceder a la página zonavirus, pero sigo sin poder ejecutar el elistara.

A ver si a la tarde pillo un rato y sigo con el asunto.

Saludos.

[msc hotline sat]

Estamos ya pisando el cuello a este bicho, pero nos falta el fichero que moverá a la carpeta C:\muestras\ el ELISTARA actual



Pruebalo cuando puedas y nos lo envias para poderlo analizar e implementar en la 17.36 del ELISTARA



Al respecto hemos editado boletin de informacion, del cual te adelanto borrador:



[quote"SATINFO"]

[b][i][u]NUEVO VIRUS DE MSN QUE GENERA NUEVA VARIANTE DE NDISIO.SYS[/u][/i][/b]





Un nuevo Virus que llega por MSN en un ZIP o RAR, con características que hacen difícil su detección, está proliferando, por lo que pasamos a informar y avisar del mismo, así como ofrecer nuevas herramientas de control y eliminación:



Se trata de una variante de uno conocido como NDISIO, por generar un NDISIO.SYS en la carpeta C:\windows\system32\drivers, pero con atributos de oculto, de sistema y de solo escritura (H,S,R)



Ello es habitual en muchos virus, pero además inhabilita la posibilidad de seleccionar ver ocultos, por lo cual no se llega a poder lo ver desde windows



y para mas INRI, aparte de deshabilitar la edición de Registro, y la Ejecución de ficheros desde el Inicio -> Ejecutar, impide ejecutar el COMMAND (CMD.EXE) para que no se pueda acceder al DOS, y para rizar el rizo, modifica la clave SafeBoot de forma que no se puede arrancar en modo seguro...



Todo ello lo solventamos ya con nuestras utilidades, pero es que además se regenera al ser creado paralelamente con otro malware que por lo indicado y la picaresca de cargarse como presunto driver de Symantec, ha sido difícil conocerlo y controlarlo: Run: [Symantec Remote Services] symrdserv.exe



Aparte modifica el HOSTS impidiendo acceder a las URL de las principales empresas antivirus y así evitar actualizaciones y escaneos ONLINE.



Dichos ficheros están, uno en la carpeta de sistema, normalmente C:\windows\system32\symrdserv.exe, y el otro en la de drivers que cuelga de la de sistema c:\windows\system32\drivers\ndisio.sys , pero ocultos e "invisibles" por lo antes dicho.





Por ello, de entrada, ya en el ELISTARA 17.34 pedimos muestra del fichero symrdserv.exe, y lo movemos , ya sin atributos, a la carpeta C:\muestras\ , y así lo hemos podido recibir y controlar desde la versión 17.36



Ya partir de esta última indicada, se controlan y eliminan los dos, el Symrdserv.exe y el Ndisio.sys, así como se restablecen las claves modificadas, normalizando el funcionamiento del windows.





El archivo ndisio.sys denota su presencia por generar un error cuando se arranca el equipo sin internet, apareciendo un pantallazo azul indicando que " El archivo ndisio.sys ha generado un error. Stop 0x000000BE. Intento de escritura en memoria de solo lectura", y se reinicia el ordenador. En tal caso probar con el indicado ELISTARA y ver el informe generado en c:\infosat.txt.



McAfee, como muchos otros antivirus, (AVG, BIt Defender, F-Prot, Fortinet, NOD32, Norman, Panda, Sophos, Symantec, etc ), aun no controla este NDISIO.SYS (solo el 22,22 % lo detecta actualmente) , si bien le hemos enviado muestras a tal fin, pero mientras, si tienen algo similar a lo indicado, probar el ELISTARA y si es el caso, quedará solucionado.





saludos



SATINFO, 6-11-2008















NOTA: Este troyano NDISIO.SYS no debe confundirse con el que tiene el sistema con nombre muy parecido, NDISUIO.SYS , que hay en la misma carpeta Y NO DEBE ELIMINARSE !!! (ndisuio.sys es un proceso que pertenece al NDIS User Mode I/O (NDISUIO) NDIS protocol driver que ofrece la ayuda para los dispositivos inalámbricos tales como Bluetooth y similares)



[/quote]



Mas o menos es así, verdad ??? :wink:



saludos



ms, 6-11-2008

[paloma]

Hola, pero es que !No puedo ejecutar el elistara!, se [b][i]abre[/i][/b] una página web que dice que no

[paloma]

He entendido a medias, bueno a tercias.

He enviado el archivo nsidio.sys comprimido por correo-e, no sé me parece que he hecho algo mal porque a mi no me ha pedido ponerle ninguna contraseña ni nada, yo le he cambiado el nombre y le he puesto virus....... :oops: .... ay madre, esto me sobrepasa por mucho.

Salu2

[msc hotline sat]

El ELISTARA 17.36 que acabamos de subir a esta web debe solucionarte todos estos problemas ya que controlamos tanto el NDISIO como el el SYMRDSERV.EXE, tras probarlo posteanos el infosat.txt y sobre todo dinos si tras reiniciar ya no persiste ninguna anomalia como la de no poder arrancar en modo seguro, no poder lanzar el REGEDIT, no poder abrir el CMD, no poder todo lo que no podías :wink:



Ademas, el ELISTARA actual [img]http://www.satinfo.es/zonavirus/new.gif[/img] tiene la novedad de que no eliminamos los temporales de windows por defecto, que tantas veces nos dejaba colgados, sino que lo ofrecemos opcional (recomendable siempre), pero que el usuario puede hacer independiente de él, eliminando los ficheros de windows\temp\ o desde dentro, aceptando la opcion cuando lo propone, asi que este ELISTARA tiene ventaja sobre ventaja, ya nos comentaras como te va



Vaya un bicho, pero creo que ya lo hemos pisado del todo, dinoslo tú, Paloma



saludos



ms, 6-11-2008



Nota: y te tuteo a tu gusto, porque asi lo pediste, y porque a los sexagenarios nos ganan pocos en edad en internet

[img]http://www.satinfo.es/zonavirus/simpatic.gif[/img] ms.

[paloma]

:D YA SE HA SOLUCIONADO TODO! Ya funciona todo a las mil maravillas.

He bajado el ElistarA a otro ordenador y luego lo he copiado al pendrive, desde ahí lo he ejecutado.

Bueno, bueno, bueno SOIS LA BOMBA!

Quiero pedir disculpas por tardar tanto en solucionar el tema, pero es que éstos trajines requieren muchos juramentos y mucho tiempo...y yo estoy a ratos.

MUCHÍSIMAS GRACIAS, MUCHISIMAS GRACIAS, MUCHISIMAS GRACIAS. Señor Hotline, ha pasado Ud. a ser mi administrador favorito. Pobre Maura63!.

Aquí posteo lo que ha dicho el Elistara:



Sun Nov 09 10:14:11 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Symantec Remote Services"="symrdserv.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Nov 09 10:14:11 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Symantec Remote Services"="symrdserv.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=msnmsgr_plus.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sun Nov 09 10:14:55 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{A32BAB74-D49D-4E3D-8851-26F0A702AC5F}\RP373\A0097850.COM --> Eliminado, Trojan.Agent.ABUE

C:\System Volume Information\_restore{A32BAB74-D49D-4E3D-8851-26F0A702AC5F}\RP373\A0102970.EXE --> Eliminado, Trojan.Agent.ABUE



Nº Total de Directorios: 3166

Nº Total de Ficheros: 41646

Nº de Ficheros Analizados: 15307

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Mon Nov 10 02:17:40 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Nov 10 02:18:10 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3250

Nº Total de Ficheros: 47917

Nº de Ficheros Analizados: 19458

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Sun Nov 09 10:14:55 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{A32BAB74-D49D-4E3D-8851-26F0A702AC5F}\RP373\A0097850.COM --> Eliminado, Trojan.Agent.ABUE

C:\System Volume Information\_restore{A32BAB74-D49D-4E3D-8851-26F0A702AC5F}\RP373\A0102970.EXE --> Eliminado, Trojan.Agent.ABUE



Nº Total de Directorios: 3166

Nº Total de Ficheros: 41646

Nº de Ficheros Analizados: 15307

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Mon Nov 10 02:17:40 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Nov 10 02:18:10 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3250

Nº Total de Ficheros: 47917

Nº de Ficheros Analizados: 19458

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



ESTO? :shock:

Detectado AUTORUN.INF en la Unidad (F)

open=msnmsgr_plus.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

[msc hotline sat]

Bueno, pues aun no hemos acabado !!!


[quote]Detectado AUTORUN.INF en la Unidad (F)

open=msnmsgr_plus.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF[/quote]



Probablemente tienes, ademas, un virus de los que se propagan por pendrive!!!



Ante todo envianos estos dos ficheros que se te piden:





F:AUTORUN.INF



F:msnmsgr_plus.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Y tras ello vacuna el ordenador y los pendrives con el ELIPEN:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 9-11-2008

[paloma]

Bueno, envío muestra. Exhausta. :(

[paloma]

No sé si se ha enviado o no, se queda como a la espera. ¿llega?

[msc hotline sat]

Si los has enviado como se indica, seguro que llegaran, mañana cuando entremos a trabajar en SATINFO los encontraremos y procederemos en consecuencia



saludos



ms, 9-11-2008

[paloma]

Creo que he llevado a cabo todas las maniobras.Ufff.

Posteo resultados.



Saludos.

Mon Nov 10 21:14:30 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3260

Nº Total de Ficheros: 48074

Nº de Ficheros Analizados: 19485

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Nov 10 22:20:15 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad D:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Unidad F:\ Protegida



Mon Nov 10 22:22:15 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Mon Nov 10 22:28:58 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Nov 10 22:29:00 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 603

Nº Total de Ficheros: 24205

Nº de Ficheros Analizados: 10548

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Mon Nov 10 22:50:51 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Nov 10 22:50:53 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3229

Nº Total de Ficheros: 45445

Nº de Ficheros Analizados: 19266

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Nov 10 23:06:57 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3229

Nº Total de Ficheros: 45445

Nº de Ficheros Analizados: 19266

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Nov 10 23:33:10 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 226

Nº Total de Ficheros: 2448

Nº de Ficheros Analizados: 133

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Nov 10 23:33:26 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Nov 10 23:33:30 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 4

Nº Total de Ficheros: 7

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[paloma]

Me he confundido; lo que tenía que postear era esto ¿sí? y a dormir que ya son horas.





ue Nov 11 00:07:40 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\00THOTKEY.EXE

C:\WINDOWS\SYSTEM32\TPWRTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TME3\TMESBS32.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSHIBA CONTROLS\TFNCKY.EXE

C:\WINDOWS\SYSTEM32\TFNF5.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\WIRELESS HOTKEY\TOSHKCW.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPLPR.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOUCHED\TOUCHED.EXE

C:\ARCHIVOS DE PROGRAMA\BROTHER\BRMFCMON\BRMFCWND.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LCOMMGR\COMMUNICATIONS_HELPER.EXE

C:\ARCHIVOS DE PROGRAMA\LOGITECH\QUICKCAM\QUICKCAM.EXE

C:\ARCHIVOS DE PROGRAMA\BROTHER\CONTROLCENTER3\BRCCMCTL.EXE

C:\ARCHIV~1\AVG\AVG8\AVGTRAY.EXE

C:\ARCHIV~1\AVG\AVG8\AVGWDSVC.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVCOMSER\LVCOMSER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVMVFM\LVPRCSRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LVCOMSER\LVCOMSER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TME3\TMESBS32.EXE

C:\ARCHIVOS DE PROGRAMA\BROTHER\BRMFCMON\BRMFCMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGISHRD\LQCVFX\COCIMANAGER.EXE

C:\ARCHIV~1\AVG\AVG8\AVGRSX.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE TOOLBAR\MSN_SL.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\RQC3F41I\SPROCES[1].EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll (file missing)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 28

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [BrMfcWnd] C:\Archivos de programa\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM\..\Run: [ControlCenter3] C:\Archivos de programa\Brother\ControlCenter3\brctrcen.exe /autorun

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://193.252.201.82/activex/AMC.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5214/mcfscan.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: AVG Free8 Network Redirector (AvgTdiX) - AVG Technologies CZ, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdix.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: LVCOMSer - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys (file missing)

O23 - Service: Brother USB Still Image driver (BrScnUsb) - Brother Industries Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\BrScnUsb.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Logitech LVPr2Mon Driver (LVPr2Mon) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVPr2Mon.sys

O23 - Service: Logitech USB Monitor Filter (LVUSBSta) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LVUSBSta.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Service (Passthru) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ndisio.sys

O23 - Service: pciSd - TOSHIBA - C:\WINDOWS\SYSTEM32\DRIVERS\tossdpci.sys

O23 - Service: Logitech QuickCam IM(PID_PEPI) (PID_PEPI) - Logitech Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LV302V32.SYS

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\R8139n51.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SMC IrCC Miniport Device Driver (SMCIRDA) - SMC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: smwdm - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys (file missing)

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TOSHIBA Software Modem (TOSHIBASoftModem) - LT - C:\WINDOWS\SYSTEM32\DRIVERS\LTSM.sys

O23 - Service: TOSHIBA SD Card Host Controller Driver (tsdhd) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tsdhd.sys

O23 - Service: Wireless LAN PCCard Driver (wlags48b) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\wlags48b.sys

O23 - Service: Wireless LAN PC Card Driver (wlluc48) - Lucent Technologies - C:\WINDOWS\SYSTEM32\DRIVERS\wlluc48.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



32 Servicios.

9 de Carga Automatica.

20 de Carga Manual.

3 Deshabilitados.

[msc hotline sat]

Pues desinstala el SPYBRO o elimina esta clave:



O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







y lanza el ELISERV indicandole como servicio a eliminar "Service" para eliminar este resto que te queda del NDISIO: O23 - Service: Service (Passthru) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ndisio.sys





ELISERV:

http://www.zonavirus.com/datos/descargas/273/eliservexe.asp





Y tras ello, reinicia y comentanos si persiste alguna anomalia o ya podemos dar por solucionado el Tema, gracias



saludos



ms, 10-11-2008

[paloma]

Buenos días:

Tomo nota.

Paloma

[msc hotline sat]

Pues tras ello, reinicia y comentanos si persiste alguna anomalia o ya podemos dar por solucionado el Tema, gracias



saludos



ms, 10-11-2008

[paloma]

El Sproces dice que está ahí, pero yo no lo encuentro, ya no sé qué hacer.



O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

[lucl]

Pues elimina la clave con el hijackthis como te pidio Msc , pero tambien asegurate de que no queda rastro del spybro, saludos





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos