he intentado limpiar y no consigo TR/Crypt.ULP,msv y mdm.exe

[fernando_fa]

bueno, el asunto es mas o menos asi

esta compu tenia el NOD32, el primer sintoma de problema es que en un momento se perdio la conexion de adsl, luego empezaron varios otros problemas, como que a veces no termina de cargar todo y hay que reiniciar, o que sale una ventanita diciendo q se va a cerrar el sistema, a veces x el archivo services.exe o tambien x el lsass.exe

desinstale el nod32, instale el avast, lo pase, instale y pase el bitdefender y el avira (el que esta ahora corriendo), instale el spybot, adaware, malwarebytes, ahora tambien tengo activo el SUPERAntispyware que cada tanto me avisa q se quiere cambiar la pagina de inicio, todos encuentran alguna cosa, limpian pero despues vuelve a aparecer

no pude hacer correr el scan online de symantec, el de panda, dps de avisarme q estaba infectado no consegui ver los detalles

tambien ya pase el ccleaner

algunos de los procesos los he realizado desde modo a prueba de fallos, pero sin mejor resultado aparente

y la verdad q ya no se bien que mas puedo hacer.....

espero ayuda

desde ya muchisimas gracias



ahora pego el log del hijackthis y el de avira, y por supuesto, me van diciendo que puedo hacer para avanzar en el diagnostico y luego en la solucion



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:08:23, on 30/11/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Archivos de programa\WinPoET\WrOS.EXE

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe

C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

C:\Archivos de programa\WinPoET\winpppoverethernet.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\JustVoip.com\JustVoip\JustVoip.exe

C:\Program files\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\Run: [z-WrDialer] C:\Archivos de programa\WinPoET\WrDialer.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe

O4 - HKLM\..\Run: [mmsass] msv.exe

O4 - HKLM\..\RunServices: [mmsass] msv.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178459398477

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\CAD\Autodesk Architectural Desktop 3\AcDcToday.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\CAD\Autodesk Architectural Desktop 3\AcPreview.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BBBCAD-F240-46AF-990B-0A8E9B6B77E0}: NameServer = 200.40.220.245 200.40.30.245

O20 - Winlogon Notify: !SASWinLogon - C:\Program files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: JFWService - Freedom Scientific BLV Group, LLC - C:\JAWS451\jfw.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

O23 - Service: Windows Host Services (SVCHOSTS32) - Unknown owner - C:\WINNT\system\svchost.exe (file missing)

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET\WrOS.EXE



--

End of file - 5654 bytes







Avira AntiVir Personal

Report file date: domingo, 30 de noviembre de 2008 12:22



Scanning for 1059587 virus strains and unwanted programs.



Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows 2000

Windows version: (Service Pack 4) [5.0.2195]

Boot mode: Normally booted

Username: SYSTEM

Computer name: STEVIE



Version information:

BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 12:21:28

AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 11:56:42

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 16:44:20

LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 11:58:54

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 15:30:38

ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09/11/2008 20:57:14

ANTIVIR2.VDF : 7.1.0.124 376832 Bytes 23/11/2008 14:48:46

ANTIVIR3.VDF : 7.1.0.159 206848 Bytes 29/11/2008 14:48:54

Engineversion : 8.2.0.36

AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 14:05:58

AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11/11/2008 18:00:08

AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 19:06:42

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 17:58:40

AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 13:41:40

AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07/11/2008 19:06:42

AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07/11/2008 19:06:42

AEHELP.DLL : 8.1.2.0 119159 Bytes 30/11/2008 14:49:04

AEGEN.DLL : 8.1.1.6 323955 Bytes 30/11/2008 14:49:02

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 14:05:58

AECORE.DLL : 8.1.5.2 172405 Bytes 30/11/2008 14:48:56

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 14:05:58

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 12:40:06

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 13:28:02

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 16:02:16

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 15:26:42

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 12:29:24

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 16:27:50

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 21:28:04

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 16:49:42

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 16:05:12

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 17:48:08

RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 17:34:38



Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\archivos de programa\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:, D:,

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium



Start of the scan: domingo, 30 de noviembre de 2008 12:22



The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'LMIGuardian.exe' - '1' Module(s) have been scanned

Scan process 'LogMeIn.exe' - '1' Module(s) have been scanned

Scan process 'LMIGuardian.exe' - '1' Module(s) have been scanned

Scan process 'Skype.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'winpppoverether' - '1' Module(s) have been scanned

Scan process 'LogMeInSystray.' - '1' Module(s) have been scanned

Scan process 'LVCOMS.EXE' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'Explorer.EXE' - '1' Module(s) have been scanned

Scan process 'WrOS.EXE' - '1' Module(s) have been scanned

Scan process 'WinMgmt.exe' - '1' Module(s) have been scanned

Scan process 'MSTask.exe' - '1' Module(s) have been scanned

Scan process 'LMIGuardian.exe' - '1' Module(s) have been scanned

Scan process 'LogMeIn.exe' - '1' Module(s) have been scanned

Scan process 'RaMaint.exe' - '1' Module(s) have been scanned

Scan process 'jfw.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '0' Module(s) have been scanned

Scan process 'sched.exe' - '0' Module(s) have been scanned

Scan process 'aawservice.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

28 processes with 28 modules were scanned



Starting master boot sector scan:

Master boot sector HD0

[INFO] No virus was found!

Master boot sector HD1

[INFO] No virus was found!



Start scanning boot sectors:

Boot sector 'C:\'

[INFO] No virus was found!

Boot sector 'D:\'

[INFO] No virus was found!



Starting to scan the registry.

The registry was scanned ( '42' files ).





Starting the file scan:



Begin scan in 'C:\' <C>

C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\SAV86YQM\t[1].txt

[DETECTION] Is the TR/Crypt.ULPM.Gen Trojan

[NOTE] The file was deleted!

Begin scan in 'D:\' <DISCO LOCAL>

D:\pagefile.sys

[WARNING] The file could not be opened!





End of the scan: domingo, 30 de noviembre de 2008 13:13

Used time: 51:05 Minute(s)



The scan has been done completely.



3374 Scanning directories

170127 Files were scanned

1 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

1 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

170125 Files not concerned

3533 Archives were scanned

1 Warnings

1 Notes

[msc hotline sat]

Y ya probó el ELISTARA, como se indica en : https://foros.zonavirus.com/antes-de-postear-log-para-su-analisis-leer-esto-t5148.html ???



bueno, pues hagamos esto a mano:



Envienos estos ficheros para analizar:



C:\WINNT\system32\mdm.exe



C:\Archivos de programa\WinPoET\WrDialer.exe



C:\WINNT\system32\msv.exe



y elimine estas claves:



O4 - HKLM\..\Run: [z-WrDialer] C:\Archivos de programa\WinPoET\WrDialer.exe



O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe



O4 - HKLM\..\Run: [mmsass] msv.exe



O4 - HKLM\..\RunServices: [mmsass] msv.exe



O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe



O4 - HKUS\.DEFAULT\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe (User 'Default user')







y esta ultima eliminela con el ELISERV.EXE:



O23 - Service: Windows Host Services (SVCHOSTS32) - Unknown owner - C:\WINNT\system\svchost.exe (file missing)



INDICANBDOLE COMO SERVICIO A ELIMINAR : "Windows Host Services" sin comillas.



ELISERV.EXE:



http://www.zonavirus.com/datos/descargas/273/eliservexe.asp





y recuerde:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 1-12-2008

[fernando_fa]

hola amigos



ya hice el envio de los archivos que me habian pedido (y agregue uno mas que aparecia en la misma carpeta q me parecio sospechoso)



ademas, por mi cuenta pase el Active Scan de Panda (sin tomar acciones) y aqui copio el resultado por si es de alguna ayuda



espero sus consejos

gracias



;***********************************************************************************************************************************************************************************

ANALYSIS: 2008-12-02 21:30:40

PROTECTIONS: 0

MALWARE: 7

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00029353 adware/maxifiles Adware No 1 Yes No c:\winnt\system32\x.exe

00048612 W32/Sdbot.ftp.worm Virus/Worm No 0 Yes No C:\WINNT\SYSTEM32\I

00048612 W32/Sdbot.ftp.worm Virus/Worm No 0 Yes No C:\WINNT\SYSTEM32\O

00048612 W32/Sdbot.ftp.worm Virus/Worm No 0 Yes No C:\SDFix\BACKUPS\BACKUPS.ZIP[backups/i]

00465897 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\OGMAYTEB\t[1].txt

00465897 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\SDFix\BACKUPS\BACKUPS.ZIP[backups/t.exe]

00465897 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\SAV86YQM\t[1].txt

03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\RECYCLER\S-1-5-21-9277731284-4319841395-527323766-9455\WINLOGON.EXE

03738686 Generic Malware Virus/Trojan No 0 No No D:\Download\SDFix.exe[D:\Download\SDFix.exe][SDFix\catchme.exe]

03738686 Generic Malware Virus/Trojan No 0 No No D:\Download\SDFix.exe[D:\Download\SDFix.exe][SDFix\apps\Cghtme.exe]

03738686 Generic Malware Virus/Trojan No 0 Yes No C:\SDFix\APPS\Cghtme.exe

03738686 Generic Malware Virus/Trojan No 0 Yes No C:\SDFix\CATCHME.EXE

03738686 Generic Malware Virus/Trojan No 0 No No D:\Download\SDFix.zip[SDFix.exe][SDFix.exe][SDFix\apps\Cghtme.exe]

03738686 Generic Malware Virus/Trojan No 0 No No D:\Download\SDFix.zip[SDFix.exe][SDFix.exe][SDFix\catchme.exe]

04209142 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\Documents and Settings\LogMeInRemoteUser.STEVIE\Configuración local\Archivos temporales de Internet\Content.IE5\SAV86YQM\mumie[1].exe

04209142 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\Documents and Settings\LogMeInRemoteUser.STEVIE\Configuración local\Archivos temporales de Internet\Content.IE5\SAV86YQM\mumie[2].exe

04209142 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\SAV86YQM\mumie[1].exe

04209142 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\Documents and Settings\LogMeInRemoteUser.STEVIE.000\Configuración local\Archivos temporales de Internet\Content.IE5\SAV86YQM\mumie[1].exe

04209142 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\Documents and Settings\LogMeInRemoteUser.STEVIE.000\Configuración local\Archivos temporales de Internet\Content.IE5\SAV86YQM\mumie[2].exe

04235612 Generic Trojan Virus/Trojan No 0 Yes No C:\WINNT\SYSTEM32\DRIVERS\EXPLORE.EXE

;===================================================================================================================================================================================

SUSPECTS

Sent Location |DC5=

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description |DC5=

;===================================================================================================================================================================================

184379 MEDIUM MS08-001 |DC5=

182048 HIGH MS07-069 |DC5=

182043 HIGH MS07-064 |DC5=

176382 HIGH MS07-057 |DC5=

170911 HIGH MS07-050 |DC5=

170907 HIGH MS07-046 |DC5=

170906 HIGH MS07-045 |DC5=

170904 HIGH MS07-043 |DC5=

164913 HIGH MS07-033 |DC5=

160623 HIGH MS07-027 |DC5=

150253 HIGH MS07-016 |DC5=

145501 HIGH MS07-004 |DC5=

141034 HIGH MS06-076 |DC5=

141030 HIGH MS06-072 |DC5=

137568 HIGH MS06-067 |DC5=

133385 MEDIUM MS06-063 |DC5=

126083 HIGH MS06-042 |DC5=

123420 HIGH MS06-035 |DC5=

120825 MEDIUM MS06-032 |DC5=

120823 MEDIUM MS06-030 |DC5=

120814 HIGH MS06-021 |DC5=

114664 HIGH MS06-013 |DC5=

101056 MEDIUM MS05-055 |DC5=

101055 HIGH MS05-054 |DC5=

93396 HIGH MS05-052 |DC5=

93394 HIGH MS05-050 |DC5=

;===================================================================================================================================================================================

[msc hotline sat]

Pues ya que lo has hecho, (nosotros no usamos dicho antivirus) y parece que ha detectado virus en algunos ficheros, envianoslos para analizar, aunque algunos serán falsos positivos...:



De ellos, este te costaría acceder a él, utiliza el ELIMOVER y marca la casilla de renombrar la extension a .VIR, pues seguro que es un malware:



C:\RECYCLER\S-1-5-21-9277731284-4319841395-527323766-9455\WINLOGON.EXE







ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp







y recuerda:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 3-12-2008

[msc hotline sat]

Recibidas las muestras, implementamos el control y eliminacion de dos de ellas en el ELITRIIP de hoy 5.34, y tener en cuenta que el ftp.exe que nos has enviado es inservible, debes usutituirlo por el original del windows



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus






[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



saludos



ms, 3-12-2008

[fernando_fa]

bueno, pase el EliTriip, copio aqui el resultado



Wed Dec 03 22:54:30 2008

EliTriIP v5.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\I --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

Restaurado FTP.EXE de la Carpeta de Sistema.

Restaurado FTP.EXE de la Carpeta DllCache.



Wed Dec 03 22:56:03 2008

EliTriIP v5.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3132

Nº Total de Ficheros: 40620

Nº de Ficheros Analizados: 9926

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



saque un nuevo log del hijackthis



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:08:24, on 04/12/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Archivos de programa\WinPoET\WrOS.EXE

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe

C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

C:\Archivos de programa\WinPoET\winpppoverethernet.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Program files\HJT\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\Run: [z-WrDialer] C:\Archivos de programa\WinPoET\WrDialer.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-21-1715567821-839522115-1060284298-1003\..\Run: [internat.exe] internat.exe (User 'LogMeInRemoteUser')

O4 - HKUS\S-1-5-21-1715567821-839522115-1060284298-1003\..\RunOnce: [^SetupICWDesktop] C:\Archivos de programa\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LogMeInRemoteUser')

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178459398477

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\CAD\Autodesk Architectural Desktop 3\AcDcToday.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\CAD\Autodesk Architectural Desktop 3\AcPreview.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BBBCAD-F240-46AF-990B-0A8E9B6B77E0}: NameServer = 200.40.220.245 200.40.30.245

O20 - Winlogon Notify: !SASWinLogon - C:\Program files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: JFWService - Freedom Scientific BLV Group, LLC - C:\JAWS451\jfw.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

O23 - Service: Windows Host Services (SVCHOSTS32) - Unknown owner - C:\WINNT\system\svchost.exe (file missing)

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET\WrOS.EXE

O23 - Service: Windows Spool Services (WinSpoolSvc) - Unknown owner - C:\WINNT\system32\csrsc.exe (file missing)



--

End of file - 5715 bytes



ahora ademas estoy mandando para analisis algunos de los archivos que aparecian en el informe del active scan de panda y que uds me recomendaron enviar, asi como una carpeta completa de Archivos temporales de internet, cuya ruta es:C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\SAV86YQM que me parece sumamente sospechosa



aguardo sus comentarios

saludos y nuevamente gracias x la atencion

[msc hotline sat]

Y este servicio se ha de eliminar con el ELISERV:



O23 - Service: Windows Spool Services (WinSpoolSvc) - Unknown owner - C:\WINNT\system32\csrsc.exe (file missing)





Hazlo indicando "Windows Spool Services" tras la ejecucion del ELISERV (sin las comillas, claro):





y este otro:





O23 - Service: Windows Host Services (SVCHOSTS32) - Unknown owner - C:\WINNT\system\svchost.exe (file missing)



igual , indicando al ELISERV el servicio "Windows Host Services"





ELISERV:

http://www.zonavirus.com/datos/descargas/273/eliservexe.asp





y esta carpeta de temnporales de internet, CONTENT\IE5 ... eliminala con el ELITEMPO:



ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp





saludos



ms, 4-12-2008

[msc hotline sat]

Pues parece que tienes un SDBOT que se propaga por pendrive, bastante atipico, pero nos ha generado un AUTORUN.INF en la carpeta RECYCLER, y es lo habitual en esteos virus.



En el ELITRIIP 5.35 de hoy lo pasamos a controlar, como tantos otros miles de SDBOT, aunque en este caso tenga la particularidad indicada.



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus






[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp


[/quote]



te recuerdo la conveniendia de vacunar tu ordenador y pendrives con el ELIPEN:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



y habiendo borrado los temporales de internet con el ELITEMPO y seguir las demas indicaciones, esperamos que tras reiniciar ya no persistan anomalias



A la vista de los informes solicitados, procederemos en consecuencia



saludos



ms, 4-12-2-2008

[fernando_fa]

he seguido todos los pasos



pase el nuevo EliTriIP, borre los temporales de internet, pase el elipen, no consegui sacar el Windows Host Services



aqui el log del EliTriIP:





Thu Dec 04 14:00:16 2008

EliServicios v1.0 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------------

Servicio Eliminado.

O23 - Service: Windows Spool Services (WinSpoolSvc) - "C:\WINNT\system32\csrsc.exe"



Thu Dec 04 22:03:15 2008

EliTriIP v5.35 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)



Thu Dec 04 22:04:14 2008

EliTriIP v5.35 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINNT\system32\x.exe --> Eliminado, SdBot



Nº Total de Directorios: 3129

Nº Total de Ficheros: 40087

Nº de Ficheros Analizados: 9896

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Dec 04 22:10:03 2008

EliTriIP v5.35 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



tb posteo un log del hijackthis:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:29:50, on 05/12/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Archivos de programa\WinPoET\WrOS.EXE

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe

C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

C:\Archivos de programa\WinPoET\winpppoverethernet.exe

C:\Program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Program files\HJT\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\Run: [z-WrDialer] C:\Archivos de programa\WinPoET\WrDialer.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-21-1715567821-839522115-1060284298-1003\..\Run: [internat.exe] internat.exe (User 'LogMeInRemoteUser')

O4 - HKUS\S-1-5-21-1715567821-839522115-1060284298-1003\..\RunOnce: [^SetupICWDesktop] C:\Archivos de programa\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LogMeInRemoteUser')

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178459398477

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\CAD\Autodesk Architectural Desktop 3\AcDcToday.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\CAD\Autodesk Architectural Desktop 3\AcPreview.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BBBCAD-F240-46AF-990B-0A8E9B6B77E0}: NameServer = 200.40.220.245 200.40.30.245

O20 - Winlogon Notify: !SASWinLogon - C:\Program files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: JFWService - Freedom Scientific BLV Group, LLC - C:\JAWS451\jfw.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

O23 - Service: Windows Host Services (SVCHOSTS32) - Unknown owner - C:\WINNT\system\svchost.exe (file missing)

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET\WrOS.EXE



--

End of file - 5606 bytes



entonces.....

que mas hacemos?



gracias y salu2

[flacoroo]

tengo duda sobre este archivo, copialo y subelo a [url=https://www.virustotal.com/es//indexf.html]Escaneo de archivos Virus total[/url]

O4 - HKUS\S-1-5-21-1715567821-839522115-1060284298-1003\..\Run: [internat.exe] [color=#FF0000]internat.exe [/color](User 'LogMeInRemoteUser')

O4 - HKUS\S-1-5-21-1715567821-839522115-1060284298-1003\..\RunOnce: [^SetupICWDesktop] C:\Archivos de programa\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LogMeInRemoteUser')

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')









[color=#0000FF]nota:internat.exe se instala con windows y proporciona opciones de multi-lenguaje en Microsoft Windows. Este solo se ejecuta si usted tiene configurado dos o mas idiomas de teclado. Este programa es importante para la estabilidad y seguridad de su sistema y no deberia ser terminado.

Observaciones: Si configura un solo idioma de teclado, este proceso no deberia aparecer. Este proceso no debe ser terminado. El archivo Internat.exe original de Windows se encuentra en: c:\Winnt\System32 ó c:\windows\System32 ó C:\WINDOWS\SYSTEM, si no es el mismo que actualmente aparece siendo ejecutado, entonces es muy posible que se trate del troyano Win32.Lydra.a.[/color]

[msc hotline sat]

Y pasaste el ELISERV y le indicaste como servicio a eliminar el "Windows Host Services" sin comillas ???



AParte, persiste aun algun problema ???



saludos



ms, 5-12-2008

[fernando_fa]

estimados msc hotline sat y flacoroo



si, intente eliminar el Windows Host Service tanto con el Eliserv, como directamente desde el Hijackthis, sin suerte

(sera que deberia probar a hacerlo en modo seguro?)



el internat.exe lo encontre en 2 ubicaciones WINNT/system32 y WINNT/system32/dllcache, ambos con igual tamaño y fecha (21KB y 12/15/1999); acabo de mandar el archivo a VIRUS TOTAL y este es el resultado:

Análisis del archivo internat.exe recibido el 05.12.2008 20:32:37 (CET)

Estado actual: análisis terminado

Resultado: 0/38 (0%)

Compactar Imprimir resultados

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.12.6.0 2008.12.05 -

AntiVir 7.9.0.42 2008.12.05 -

Authentium 5.1.0.4 2008.12.05 -

Avast 4.8.1281.0 2008.12.04 -

AVG 8.0.0.199 2008.12.05 -

BitDefender 7.2 2008.12.05 -

CAT-QuickHeal 10.00 2008.12.05 -

ClamAV 0.94.1 2008.12.05 -

Comodo 682 2008.12.04 -

DrWeb 4.44.0.09170 2008.12.05 -

eSafe 7.0.17.0 2008.12.04 -

eTrust-Vet 31.6.6243 2008.12.04 -

Ewido 4.0 2008.12.05 -

F-Prot 4.4.4.56 2008.12.04 -

F-Secure 8.0.14332.0 2008.12.05 -

Fortinet 3.117.0.0 2008.12.05 -

GData 19 2008.12.05 -

Ikarus T3.1.1.45.0 2008.12.05 -

K7AntiVirus 7.10.545 2008.12.05 -

Kaspersky 7.0.0.125 2008.12.05 -

McAfee 5455 2008.12.05 -

McAfee+Artemis 5454 2008.12.04 -

Microsoft 1.4205 2008.12.05 -

NOD32 3667 2008.12.05 -

Norman 5.80.02 2008.12.05 -

Panda 9.0.0.4 2008.12.05 -

PCTools 4.4.2.0 2008.12.05 -

Prevx1 V2 2008.12.05 -

Rising 21.06.43.00 2008.12.05 -

SecureWeb-Gateway 6.7.6 2008.12.05 -

Sophos 4.36.0 2008.12.05 -

Sunbelt 3.1.1832.2 2008.12.01 -

Symantec 10 2008.12.05 -

TheHacker 6.3.1.2.176 2008.12.05 -

TrendMicro 8.700.0.1004 2008.12.05 -

VBA32 3.12.8.10 2008.12.05 -

ViRobot 2008.12.5.1502 2008.12.05 -

VirusBuster 4.5.11.0 2008.12.05 -



hice un escaneo con el Avira, actualizado al dia de hoy y lo unico q encontro es:

C:\RECYCLER\S-1-5-21-9277731284-4319841395-527323766-9455\winlogon.exe

[DETECTION] Contains a recognition pattern of the (harmful) BDS/Agent.ukj.12 back-door program

[NOTE] The file was deleted!



pase el SpyBot Search & Destroy y este fue el log:

--- Report generated: 2008-12-05 04:26 ---



Hint of the Day: Click the bar at the right of this to see more information! ()





Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Configuración (Cambio en el registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride



Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Configuración (Cambio en el registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride



Microsoft.WindowsSecurityCenter.TaskManager: [SBI $FD4267D3] Configuración (Cambio en el registro, nothing done)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr



Microsoft.WindowsSecurityCenter.RegistryTools: [SBI $D60CD1E3] Configuración (Cambio en el registro, nothing done)

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools





--- Spybot - Search & Destroy version: 1.6.0 (build: 20080707) ---



se escuchan sugerencias.......

agradezco su invalorable ayuda

[msc hotline sat]

Pues siempre decimos que se renombren los ficheros sospechosos a extension .VIR, para poder enviarnoslos y, tras analizarlos, implementar su control y eliminacion de claves y demas en nuestras utilidades, pero si lo has eliminado...



C:\RECYCLER\S-1-5-21-9277731284-4319841395-527323766-9455\winlogon.exe



Este fichero con el ELIMOVER lo hubieras podido mover a c:\muestras y enviarnoslo, COMO TE DECIAMOS EN UN POST ANTERIOR, pero si en lugar de ello lo has eliminado con esto que dices haber usado "[b][i]hice un escaneo con el Avira,[/i][/b]" (Y QUE NADIE TE HA DICHO QUE LO HICIERAS), pues has quemado los barcos, salvo que te hubieras guardado una copia en alguna parte, si es asi envianoslo y lo analizaremos



saludos



ms, 6-12-2008









NOTA, si lo tienes para enviar, recuerda empaquetar dicho fichero en un ZIP o RAR con password "virus" pues sino igual no nos llega al ser interceptado por el camino...



>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253 ms.

[fernando_fa]

hola msc hotline sat

disculpame

lo que sucedio fue lo siguente: la otra vez, cuando me recomendaron mover y renombrar el winlogon.exe con el elimover, intente hacerlo, pero no lo encontre en la ubicacion prevista, por lo tanto supuse que con algunas de las acciones que habiamos tomado se habria eliminado, y ahora que lo encontre de nuevo, basicamente lo que me acorde fue aquello de: "seguro que es un malware" y entonces, sin pensar mucho, deje que el avira lo borrara



estuve revisando y claro, como fue borrado, no tengo posibilidades de recuperarlo, y dps vi que hay otros archivos winlogon.exe en las siguientes ubicaciones

WINNT/system32 (185KB 3/6/2005)

WINNT/system32/dllcache (185KB 3/6/2005)

WINNT/SoftwareDistribution/Download/dfd6198da0ad7d6e0750d79db83ea0f3 (185KB 3/6/2005)

WINNT/$NtUpdateRollupPackUninstall$ (180KB 19/6/2003)



ahora bien, como comentaba, este archivo el winlogon,exe, en la carpeta RECYCLER habia desaparecido y volvio y ahora yo lo borre, asi que existe la posibilidad que vuelva a aparecer (si la compu continua infectada) y si no sale mas, podriamos concluir que efectivamente se trataba de un archivo infectado, no?



ahora, con el Windows Host Services, deberiamos hacer algo en especial?



bueno, por ahora eso es todo

espero sus comentarios o sugerencias

[msc hotline sat]

Justamente era porque se supone que era malware que se precisaba analizar para obrar en consecuencia.



Si le vuelve a aparecer, envienoslo como se pide.



Sino, sin muestra, no lo podremos monitorizar ...



saludos



ms, 6-12-2008