Oculta acutalizacion de SP WIndoes por Virus BRASTK,

[JerryV]

Mi Pc se infecto con el virus [b]BRASTK[/b], vi en los foros las recomendaciones para eliminarlo. Muy agradecido por la receta, despues de eliminarlo, les mande unas muestras, solo que la muestra como BRASTK, la elimino mi antivirus, ya que volvi a correr para asegurarme de que la limpieza ya fuera total.



En el mensaje de infosat, me indica que no tengo actualizado el [b]SP3 de Windows[/b], y de acuerdo a lo que muestran en los foros es necesario hacer un UPDATE WINDOWS para la actualización.



Bien pues ejecuto el UPDATE, y me marca que las actualizaciones criticas [b]fueron ocultadas[/b], y me da la opcion de mostrarlas, pero aun y cuando le doy clic al boton para que las muestre, me vuelve a mandar el mismo mensaje.



Tengo la duda si aun en mi PC esta un virus que no permite mostrar las actualizaciones criticas de windows, como puedo saber que pasa.....

[msc hotline sat]

Ante todo elimine los malwares que tenga, y tras probar el ELISTARA, posteenos el contenido de c:\infosat.txt para verificarlo.



Tras ello con un windowsupdate, si todavía le indica que no está instalado, si puede navegar, debería instalar el SP3, salvo que su sistema no fuera legal o no lo tuviera registrado con microsoft...



Confirmenos dichos puntos, gracias



saludos



ms, 20-11-2008

[JerryV]

Ok, hare lo que me indican.



sobre el primer punto ahora que regrese a casa ejecutare el ELISTARA, y les posteo los resultados de InfoSat. El siguiente punto con respecto al Windows de mi PC, es 100% original, es el que viene de fabrica con la PC.



Gracias por su respuesta, despues les posteo los resultados. :D

[msc hotline sat]

Seguro que sí, solo le indicabamos que si no lo hbubiera sido, podía ser por ello.



Entonces proceda como hemos indicado y veamos el resultado, gracias



saludos



ms, 20-11-2008

[msc hotline sat]

Recibidas muestras para analizar, se trata de dos nuevas variantes que pasamos a controlar DESDE la version de hoy del ELISTARA 17.47



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 21-11-2008

[JerryV]

Este es el LOG, despues de todas las revisiones.





Wed Nov 19 20:27:00 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\WVUKKECT] -> C:\WINDOWS\SYSTEM32\wvUkKeCt.dll

[WinLogon\Notify\WVUKKECT]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WVUKKECT.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\XQLKSBON] -> C:\WINDOWS\SYSTEM32\XQLKSBON32.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\WVUKKECT.DLL.Muestra EliStartPage v17.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WVUKKECT.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\RS32NET.EXE.Muestra EliStartPage v17.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\RS32NET.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\BRASTK.EXE.Muestra EliStartPage v17.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\BRASTK.EXE --> Eliminado

C:\WINDOWS\KARNA.DAT --> Eliminado FakeAlert(brastk)

C:\WINDOWS\SYSTEM32\KARNA.DAT --> Eliminado FakeAlert(brastk)

C:\WINDOWS\SYSTEM32\DRIVERS\BEEP.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\XQLKSBON32.DLL --> DownLoader.Cutwail(notify) Renombrado a .VIR

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\DELSELF.BAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "brastk"="brastk.exe"

Entrada Eliminada [HKCU\...\Run] "rs32net"="C:\WINDOWS\System32\rs32net.exe"

Entrada Eliminada [HKLM\...\Run] "rs32net"="C:\WINDOWS\System32\rs32net.exe"

Eliminado Servicio, "mchInjDrv"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Reinicie para Completar la Limpieza.



Wed Nov 19 20:29:06 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\LMGGDC.EXE --> Eliminado, Spy.Goldun.PQ

C:\Archivos de programa\Asistente Prodigy\FPXXUDUD.EXE --> Eliminado, Spy.Banker.BGH

C:\Archivos de programa\LimeWire\MUSIC\01 TRACK 1.WMA --> Eliminado, DownLoader.Wimad.L(WMA)

C:\Archivos de programa\LimeWire\MUSIC\02 TRACK 2.WMA --> Eliminado, DownLoader.Wimad.L(WMA)

C:\Archivos de programa\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\WINDOWS\system32\XQLKSBON.DLL --> Acceso Denegado, DownLoader.Cutwail(notify) (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\XQLKSBON32.DLL.VIR --> Acceso Denegado, DownLoader.Cutwail(notify) (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\drivers\ATI2FKXX.SYS --> Eliminado, Rootkit.Protector.BD

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpphotosmart_c3100_s4080\HPZ3A054.DLL --> Eliminado, MoviePass



Nº Total de Directorios: 7454

Nº Total de Ficheros: 105361

Nº de Ficheros Analizados: 19332

Nº de Ficheros Infectados: 11

Nº de Ficheros Limpiados: 9



Wed Nov 19 21:57:39 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\WVUKKECT] -> C:\WINDOWS\SYSTEM32\wvUkKeCt.dll

Por favor, envienos una muestra del fichero

C:\Muestras\WVUKKECT.DLL.Muestra EliStartPage v17.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WVUKKECT.DLL --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "brastk"="brastk.exe"

Eliminado Servicio, "mchInjDrv"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Reinicie para Completar la Limpieza.



Wed Nov 19 21:58:26 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7453

Nº Total de Ficheros: 105354

Nº de Ficheros Analizados: 19318

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\WVULIXRP.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



Fri Nov 21 02:43:17 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\WVUKKECT] -> C:\WINDOWS\SYSTEM32\wvUkKeCt.dll

[WinLogon\Notify\WVUKKECT]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WVUKKECT.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\WVUKKECT.DLL.Muestra EliStartPage v17.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WVUKKECT.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WVULIXRP.DLL.Muestra EliStartPage v17.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WVULIXRP.DLL --> Renombrado a .VIR

Eliminada Class, "{2E33FD9C-59E3-462C-B09E-6FA529DA33F2}" -> C:\WINDOWS\system32\wvUlIXrp.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Reinicie para Completar la Limpieza.



Fri Nov 21 02:44:25 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7436

Nº Total de Ficheros: 105354

Nº de Ficheros Analizados: 19317

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\WVULIXRP.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\wvUkKeCt.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\WVUKKECT"

Detectado Vundo9

Elininada Class {2E33FD9C-59E3-462C-B09E-6FA529DA33F2}

Elininado BHO {2E33FD9C-59E3-462C-B09E-6FA529DA33F2}

Desinstalado EliNotif.dll



Fri Nov 21 03:04:07 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WVULIXRP.DLL.VIR --> Eliminado.

Eliminado Servicio, "mchInjDrv"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Nov 21 03:04:33 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7437

Nº Total de Ficheros: 105359

Nº de Ficheros Analizados: 19318

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 21 03:19:05 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Nov 21 03:19:28 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7434

Nº Total de Ficheros: 105350

Nº de Ficheros Analizados: 19312

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 21 03:41:15 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "mchInjDrv"

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Nov 21 03:41:44 2008

EliStartPage v17.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5186

Nº Total de Ficheros: 79329

Nº de Ficheros Analizados: 7673

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri Nov 21 07:41:47 2008

EliTriIP v5.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Nov 21 07:41:56 2008

EliTriIP v5.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7437

Nº Total de Ficheros: 105563

Nº de Ficheros Analizados: 17616

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 21 07:55:01 2008

EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Nov 21 07:55:05 2008

EliBagle v11.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7477

Nº Total de Ficheros: 106076

Nº de Ficheros Analizados: 11983

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[JerryV]

ESTE ES EL LOG DE SPROCLOG



Fri Nov 21 02:59:58 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\IVT CORPORATION\BLUESOLEIL\BTNTSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\SITEADVISOR\MCSACORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NEW BOUNDARY\PRISMXL\PRISMXL.SYS

C:\ARCHIVOS DE PROGRAMA\SPYWARE DOCTOR\SDHELP.EXE

C:\WINDOWS\SYSTEM32\SNMP.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\JERRY\MIS DOCUMENTOS\MIS ARCHIVOS RECIBIDOS\SOFT\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {2E33FD9C-59E3-462C-B09E-6FA529DA33F2} - C:\WINDOWS\system32\wvUlIXrp.dll (file missing)

O2 - BHO: (no name) - {4FD130AE-D8D2-4137-A680-C5CF233BE545} - C:\WINDOWS\system32\wvUkKeCt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: DevocionTOTAL.com Toolbar - {34cda078-f9a3-4723-b943-f8db32f68efa} - C:\Archivos de programa\DevocionTOTAL.com\tbDev0.dll

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\ARCHIV~1\mcafee\siteadvisor\mcieplg.dll

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [12CFG94-z641-2SF-N31P-5M1ER6H6L1] C:\RECYCLER\S-1-5-21-5159653334-7565354417-087355316-3873\winigon.exe

O4 - HKLM\..\Run: [Reminder] C:\Windows\Creator\Remind_XP.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [CHotkey] zHotkey.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [IdiomaX Product Update] C:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\IdxLUpdate.exe /AUTOSTART

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SmartRAM] C:\Archivos de programa\IObit\Advanced WindowsCare V2\MemCleaner.exe /m

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Jerry\Mis documentos\Mis archivos recibidos\SOFT\ELISTARA.BIAAB%D8%D8H.EXE

O4 - Startup: desktop.ini

O4 - Global Startup: BlueSoleil.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab

O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://jerryvp.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {B102CE69-5C2F-4363-9E6D-C61B61FD92DD} (OGGPlay.UserControl1) - http://kvmv.streamon.fm/player/oggplay.CAB

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\msgrapp.8.5.1302.1018.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\msgrapp.8.5.1302.1018.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\ARCHIV~1\mcafee\siteadvisor\mcieplg.dll

O20 - Winlogon Notify: DIMSNTFY - (no file)

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O20 - Winlogon Notify: SATINFO - C:\DOCUMENTS AND SETTINGS\JERRY\MIS DOCUMENTOS\MIS ARCHIVOS RECIBIDOS\SOFT\ELINOTIF.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O20 - Winlogon Notify: WVUKKECT - WVUKKECT.DLL

O20 - Winlogon Notify: XQLKSBON - XQLKSBON.DLL (file missing)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {4FD130AE-D8D2-4137-A680-C5CF233BE545} - - C:\WINDOWS\system32\wvUkKeCt.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe

O23 - Service: AEGIS Protocol (IEEE 802.1x) v2.3.1.9 (MDC8021X) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\mdc8021x.sys

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Panda Software Controller - Unknown owner - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Archivos de programa\Archivos comunes\New Boundary\PrismXL\PRISMXL.SYS

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: Bluetooth Audio Service (BlueletAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys

O23 - Service: Bluetooth HID Enumerator (BTHidEnum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vbtenum.sys

O23 - Service: Bluetooth Network Filter (BTNetFilter) - Unknown owner - C:\WINDOWS\system32\drivers\BTNetFilter.sys

O23 - Service: VideoCAM Slim USB2 (Cam5603C) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\VdCap03C.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Adapter Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWBS2.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Controlador de Macronix MX987xx Family Fast Ethernet NT (mxnic) - Macronix International Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\mxnic.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: restore - Unknown owner - C:\WINDOWS\system32\drivers\restore.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Alcor Micro Corp Reader (SunkFilt) - Alcor Micro Corp. - C:\WINDOWS\System32\Drivers\sunkfilt.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Virtual Serial port driver (VComm) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

O23 - Service: Intel(R) Graphics Platform (SoftBIOS) Driver ({6080A529-897E-4629-A488-ABA0C29B635E}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmsbw.sys

O23 - Service: Intel(R) Graphics Chipset (KCH) Driver ({D31A0762-0CEB-444e-ACFF-B049A1F6FE91}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmkchw.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



50 Servicios.

15 de Carga Automatica.

32 de Carga Manual.

3 Deshabilitados.

[msc hotline sat]

Pues como ya le hemos dicho, esta tarde > 18 h, descargue la nueva version que estamos haciendo del ELISTARA, será la 17.47 , que ya controlará las muestras recibidas, y tras probarla nos postea el nuevo infosat.txt y tras reiniciar diganos si persiste alguna anomalia o lo podemos dat por solucionado.



Aparte, mientras, lance un windowsupdate y actualice parches: ...


[quote]EliTriIP v5.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP[/quote]
saludos



ms, 21-11-2008

[msc hotline sat]

Y analizado el log de HJT, ues envienos este fichero para analizar:



C:\RECYCLER\S-1-5-21-5159653334-7565354417-087355316-3873\winigon.exe



Tener presente que este winigon.exe estará oculto con atributos S, H, R y deberá copiarlo primero a C:\ desde DOS para poder acceder a él y enviarnoslo



(Abra una ventana de DOS, vaya a dicha carpeta y con el ATTRIB -S-H-R quitar los atributos de dicho fichero y luego renombrarlo a extension .VIR y moverlo a C:\ para , tras reiniciar, poder enviarnoslo para analizar.)



y aparte, vacuen con el ELIPEN todos los ordenadores y pendrives, para evitar la propagacion de virus de propagacion por pendrive, por si fuera el caso...:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp





saludos



ms, 21-11-2008

[JerryV]

Ya he primero ejecutado el PIPE, posteriormente ELISTARA, aqui les posteo el log de Infosat.txt



Sat Nov 22 08:54:05 2008

EliStartPage v17.47 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{4FD130AE-D8D2-4137-A680-C5CF233BE545}" -> C:\WINDOWS\system32\wvUkKeCt.dll

Eliminado Servicio, "mchInjDrv"

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Sat Nov 22 08:54:28 2008

EliStartPage v17.47 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSQOFVVW.DLL --> Eliminado, DownLoader.ConHook(notify)

C:\WinLogon\WVUKKECT.DLL --> Eliminado, DownLoader.ConHook(notify)



Nº Total de Directorios: 7488

Nº Total de Ficheros: 105959

Nº de Ficheros Analizados: 19350

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Sat Nov 22 09:19:03 2008

EliStartPage v17.47 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 231

Nº Total de Ficheros: 3201

Nº de Ficheros Analizados: 1341

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[JerryV]

Tambien he tratado de lanzar Windows UPDATE, pero me aparece un mensaje indicando que actualizaciones criticas han sido ocultadas.


[attachment=0]Pantalla.jpg[/attachment]

[msc hotline sat]

Deciamos:


[quote]envienos este fichero para analizar:



C:\RECYCLER\S-1-5-21-5159653334-7565354417-087355316-3873\winigon.exe



Tener presente que este winigon.exe estará oculto con atributos S, H, R y deberá copiarlo primero a C:\ desde DOS para poder acceder a él y enviarnoslo [/quote]

Lo has enviado ???



Sino mira el proceso indicado en el post que acabo de escribir en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26765&start=45



En cuanto lo recibamos, procederemos a su analisis y eliminacion.



Saludos



ms, 22-11-2008

[JerryV]

SI, ya mande el archivo...

[lucl]

Pues ahora tan solo te queda esperar un poco al lunes para que lo analicen, estate atento al post, saludos

[msc hotline sat]

Pues si ademas lo has renombrado a .VIR como indicamos, tras reiniciar, indicanos si persiste el problema ...



Y como bien indica lucl, el lunes, cuando volvamos al trabajo en SATINFO, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



SALUDOS



MS, 22-11-2008

[msc hotline sat]

Analizada la muestra recibida, lpasamos a implementar su control y eliminacion en el ELISTARA de hoy 17.48



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 24-11-2008

[JerryV]

Si, el problema aun persiste. Logre hacer un scan on line, y me indico que esta infectada mi PC con un troyano. Espero que en este día pueda tener respuesta..



SALUDOs y gracias por su ayuda.

[msc hotline sat]

Si el fichero detectado por el AV ONLINE no es el enviado, envianoslo tambien para controlar, pues igual no tienes uno solo...



Y posteanos el log del AV ONLINE, a ver ruta, nombre del fichero malware y como lo detectran, gracias



saludos



ms, 24-11-2008