Espero no sea nada (SOLUCIONADO)

[chrisden33]

Saludos, bueno mi maquina anda [b][i]sospechosa[/i][/b], tal vez no sea nada pero bueno, es mejor prevenir que lamentar, le paso los antivirus y no detectan nada inusual, pero bueno aqui les dejo el log del hijackthis para que me lo [b][i]chequee[/i][/b], gracias de antemano.



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:53:55 p.m., on 10/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\PV92Tray.exe

C:\WINDOWS\VM_STI.EXE

C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\uTorrent\uTorrent.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\KAIOMY Multimedia\TVnPC P7 Utilities\P3XRCtl.exe

C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\Archivos de programa\Alwil Software\Avast4\setup\avast.setup

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Canon\CAL\CALMAIN.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\ReGet Software\ReGet Deluxe\ReGetDx.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.utorrent.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Archivos de programa\TechSmith\SnagIt 9\SnagItBHO.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Archivos de programa\Archivos comunes\ReGet Shared\Catcher.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Archivos de programa\Windows Live\Messenger\wlchtc.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Archivos de programa\ReGet Software\ReGet Deluxe\IEBar.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 9\SnagItIEAddin.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [EPSON Stylus C79 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGL.EXE /FU "C:\WINDOWS\TEMP\E_S18B.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [BigDog302] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0302)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [uTorrent] "C:\Archivos de programa\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

O4 - Global Startup: Remote Control.lnk = C:\Archivos de programa\KAIOMY Multimedia\TVnPC P7 Utilities\P3XRCtl.exe

O8 - Extra context menu item: Do&wnload by ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Archivos de programa\Archivos comunes\ReGet Shared\CC_All.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe



--

End of file - 9744 bytes

[msc hotline sat]

Se supone que ha seguido lo indicado en



https://foros.zonavirus.com/antes-de-postear-log-para-su-analisis-leer-esto-t5148.html



PUES EMPIECE POR LANZAR UN WINDOWSUPDATE Y ACTULIZAR PARCHES !!!



Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Instale el SP3 y posteriores pendientes de instalar.



Luego suba este fichero al VirusTotal:



C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll





y nos postea el informe resultante, para obrar en consecuencia



saludos



ms, 11-12-2008

[chrisden33]

Bueno, ya estoy en el asunto de instalar parches, pero mi conexion no es muy rapida (literal 128 Kbps) pero voy ene el asunto de updateralo, aqui dejo los resultados del Virustotal, en un link



analisis/f032daa70e2808f48811db1f8c3cf46c



Tambien dejo los resultados del mismo archovo analizado por el Karsperski



If you would like to scan your entire computer for viruses, please use our free virus scan.





You're clean!

Kaspersky Anti-Virus has not detected any viruses at this time in the file you submitted.



However, only a fully-functional antivirus solution with regularly updated virus definitions can ensure comprehensive protection against malware. If you do not have an antivirus solution installed, you may wish to consider purchasing one today.



Download a trial version of Kaspersky Anti-Virus

Purchase Kaspersky Anti-Virus in our E-Store

Purchase Kaspersky Anti-Virus from a certified partner



Scanned file: fastsearch_219B3E1547538286.dll







Statistics:

Known viruses: 1451932 Updated: 11-12-2008

File size (Kb): 510 Virus bodies: 0

Files: 1 Warnings: 0

Archives: 0 Suspicious: 0

[lucl]

Lo que te pido Msc fue que lo subieras a virustotal





www.virustotal.com/es





hazlo y peganos el log resultante entero saludos

[msc hotline sat]

Bueno, con un poco mas de faena que si lo hubieras posteado, vemos que en el link correspondiente indica:



Análisis del archivo fastsearch_219B3E1547538286.dll recibido el 08.12.2008 13:22:34 (CET)

Estado actual: análisis terminado



Resultado: 0/38 (0.00%)



En consecuencia nada relativo a malwares en este fichero.



Y si ya probó el ELISTARA y otras utilidades, posteenos, con un copiar y pegar, el contenido de c:\infosat.txt



saludos



ms, 11-12-2008

[chrisden33]

Pase un antivirus online y me dice que tengo un threat, lo analizo con el virus total y me dice que si que tiene un , pero al pasarle el antivirus por el archivo no me detecta nada, lo mismo pasa con otroa antivirus on line no detectan nada, aqui les mando los resultados del virustotal y de paso le enviare el archivo



Análisis del archivo midadDrv.Vdll recibido el 05.12.2008 00:12:11 (CET)

Estado actual: análisis terminado



Resultado: 1/37 (2.70%)

Compactar Imprimir resultados



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 - - -

AntiVir - - -

Authentium - - -

Avast - - -

AVG - - -

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - -

DrWeb - - -

eSafe - - -

eTrust-Vet - - -

Ewido - - -

F-Prot - - -

F-Secure - - -

Fortinet - - -

GData - - -

Ikarus - - -

K7AntiVirus - - -

Kaspersky - - -

McAfee - - -

McAfee+Artemis - - -

Microsoft - - PWS:Win32/Jomloon.A

NOD32 - - -

Norman - - -

Panda - - -

PCTools - - -

Prevx1 - - -

Rising - - -

SecureWeb-Gateway - - -

Sophos - - -

Sunbelt - - -

Symantec - - -

TheHacker - - -

TrendMicro - - -

VBA32 - - -

ViRobot - - -

VirusBuster - - -

Información adicional

MD5: ba9fbfb5dd6320da2a5027147db1d008

SHA1: 562f81078f73d89853325588034ffad7f77a0423

SHA256: f8db73f3ed8083119e81ed85c020905d8f508d4dae6dbc99ef7e2b6b25050fd8

SHA512: d4a27edc97fe26937169e0ac64e650efc5a70cb8961ef964c77c98e7304e21557dc1d13d82ce392fdfd28bc12355663539db20ccecebd61080b4810fb129fddb



Gracias, esperare respuestas.

[msc hotline sat]

Pero este fichero midadDrv.Vdll no es el mismo del que hablabamos (fastsearch_219B3E1547538286.dll)



que ademas no tiene el mismo MD5...


[quote="virustotal"]File fastsearch_219B3E1547538286.dll received on 12.08.2008 13:22:34 (CET)

Current status: finished



Result: 0/38 (0.00%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2008.12.6.0 2008.12.06 -

AntiVir 7.9.0.42 2008.12.08 -

Authentium 5.1.0.4 2008.12.08 -

Avast 4.8.1281.0 2008.12.08 -

AVG 8.0.0.199 2008.12.07 -

BitDefender 7.2 2008.12.07 -

CAT-QuickHeal 10.00 2008.12.08 -

ClamAV 0.94.1 2008.12.07 -

Comodo 708 2008.12.08 -

DrWeb 4.44.0.09170 2008.12.07 -

eSafe 7.0.17.0 2008.12.07 -

eTrust-Vet 31.6.6246 2008.12.05 -

Ewido 4.0 2008.12.07 -

F-Prot 4.4.4.56 2008.12.04 -

F-Secure 8.0.14332.0 2008.12.08 -

Fortinet 3.117.0.0 2008.12.07 -

GData 19 2008.12.07 -

Ikarus T3.1.1.45.0 2008.12.08 -

K7AntiVirus 7.10.547 2008.12.06 -

Kaspersky 7.0.0.125 2008.12.07 -

McAfee 5456 2008.12.06 -

McAfee+Artemis 5456 2008.12.06 -

Microsoft 1.4205 2008.12.08 -

NOD32 3670 2008.12.08 -

Norman 5.80.02 2008.12.05 -

Panda 9.0.0.4 2008.12.07 -

PCTools 4.4.2.0 2008.12.07 -

Prevx1 V2 2008.12.08 -

Rising 21.06.62.00 2008.12.07 -

SecureWeb-Gateway 6.7.6 2008.12.08 -

Sophos 4.36.0 2008.12.07 -

Sunbelt 3.1.1832.2 2008.12.01 -

Symantec 10 2008.12.07 -

TheHacker 6.3.1.2.179 2008.12.06 -

TrendMicro 8.700.0.1004 2008.12.08 -

VBA32 3.12.8.10 2008.12.07 -

ViRobot 2008.12.6.1504 2008.12.06 -

VirusBuster 4.5.11.0 2008.12.05 -

Additional information

File size: 522224 bytes

MD5...: e27153f524c86807079f62550094b073 [/quote]

en cualquier caso deciamos:



[b][i]"Y si ya probó el ELISTARA y otras utilidades, posteenos, con un copiar y pegar, el contenido de c:\infosat.txt"[/i][/b]



No vemos el infosat.txt ...



venga, no nos haga pedir las cosas dos veces !



saludos



ms, 14-12-2008









NOTA: y ya que ahora nos habla de este midadDrv.Vdll , envienoslo para analizar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



ms.

[chrisden33]

Disculpas por no enviar el log de las utilidades, pero bueno mejor tarde que nunca, los hice correr una vez mas en mi maquina y me elimino un troyano en dos archivos (el mismo archivo en lugares diferentes), aqui se los dejo:





Sun Dec 14 16:51:43 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "C:\"

C:\WINDOWS\SoftwareDistribution\Download\eead0cfdc22d32d8d279c0ba6a804d45\backup\SRSVC.DLL --> Eliminado, Trojan.KillAV.BAL

C:\WINDOWS\system32\SRSVC.DLL --> Acceso Denegado, Trojan.KillAV.BAL (Reiniciar para Completar la Limpieza)



N¦ Total de Directorios: 4875

N¦ Total de Ficheros: 66001

N¦ de Ficheros Analizados: 18726

N¦ de Ficheros Infectados: 2

N¦ de Ficheros Limpiados: 1



Sun Dec 14 17:00:15 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "D:\"



N¦ Total de Directorios: 117

N¦ Total de Ficheros: 2515

N¦ de Ficheros Analizados: 190

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:00:46 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "E:\"



N¦ Total de Directorios: 1991

N¦ Total de Ficheros: 31667

N¦ de Ficheros Analizados: 3163

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:02:33 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "F:\"



N¦ Total de Directorios: 357

N¦ Total de Ficheros: 5993

N¦ de Ficheros Analizados: 185

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:02:54 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "G:\"



N¦ Total de Directorios: 438

N¦ Total de Ficheros: 6210

N¦ de Ficheros Analizados: 89

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:03:17 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "H:\"



N¦ Total de Directorios: 194

N¦ Total de Ficheros: 3080

N¦ de Ficheros Analizados: 50

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:03:36 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "I:\"



N¦ Total de Directorios: 566

N¦ Total de Ficheros: 14818

N¦ de Ficheros Analizados: 1659

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:06:34 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "J:\"

J:\Documents and Settings\Dennis\Mis documentos\Downloads\STARWARS-BATTLEFRONT.PART01.EXE --> Eliminado, Frauder.KG



N¦ Total de Directorios: 610

N¦ Total de Ficheros: 10236

N¦ de Ficheros Analizados: 655

N¦ de Ficheros Infectados: 1

N¦ de Ficheros Limpiados: 1



Sun Dec 14 17:07:14 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "J:\"



N¦ Total de Directorios: 610

N¦ Total de Ficheros: 10235

N¦ de Ficheros Analizados: 654

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:07:58 2008

EliTriIP v5.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "C:\"



N¦ Total de Directorios: 4875

N¦ Total de Ficheros: 66001

N¦ de Ficheros Analizados: 16790

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:11:29 2008

EliTriIP v5.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "D:\"



N¦ Total de Directorios: 117

N¦ Total de Ficheros: 2515

N¦ de Ficheros Analizados: 189

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:11:39 2008

EliTriIP v5.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "E:\"



N¦ Total de Directorios: 1991

N¦ Total de Ficheros: 31667

N¦ de Ficheros Analizados: 1822

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:12:34 2008

EliTriIP v5.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "G:\"



N¦ Total de Directorios: 438

N¦ Total de Ficheros: 6210

N¦ de Ficheros Analizados: 81

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:12:50 2008

EliTriIP v5.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "F:\"



N¦ Total de Directorios: 357

N¦ Total de Ficheros: 5993

N¦ de Ficheros Analizados: 163

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:13:01 2008

EliTriIP v5.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "H:\"



N¦ Total de Directorios: 194

N¦ Total de Ficheros: 3080

N¦ de Ficheros Analizados: 45

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:13:11 2008

EliTriIP v5.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "I:\"



N¦ Total de Directorios: 566

N¦ Total de Ficheros: 14818

N¦ de Ficheros Analizados: 1521

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:13:32 2008

EliTriIP v5.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "J:\"



N¦ Total de Directorios: 610

N¦ Total de Ficheros: 10235

N¦ de Ficheros Analizados: 617

N¦ de Ficheros Infectados: 0

N¦ de Ficheros Limpiados: 0



Sun Dec 14 17:16:23 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraci¾n):

Explorando "C:\"

C:\WINDOWS\system32\SRSVC.DLL.VIR --> Eliminado, Trojan.KillAV.BAL



N¦ Total de Directorios: 4876

N¦ Total de Ficheros: 66005

N¦ de Ficheros Analizados: 18726

N¦ de Ficheros Infectados: 1

N¦ de Ficheros Limpiados: 1

[msc hotline sat]

Pues muy bien, vemos que el ELISTARA hizo su trabajo, pero esta libreria me parece que es del sistema, yo la tengo y mide 171.520 bytes, es posible que el virus la haya sobreescrito y ahora al eliminarla pueda faltar para alguna aplicacion...



C:\WINDOWS\system32\SRSVC.DLL



Vea si aun la tiene y en tal caso diganos cual es su tamaño, gracias.



Y si no la tiene, copiela de otro ordenador, con igual version y parches, a dicha carpeta de sistema.




[quote]NOTA: Vemos que tambien lo eliminamos inicialmente de



C:\WINDOWS\SoftwareDistribution\Download\eead0cfdc22d32d8d279c0ba6a804d45\backup\SRSVC.DLL --> Eliminado, Trojan.KillAV.BAL



Asi que parece ser que pudo entrar en una descarga ???[/quote]





y cuando dentro de unas horas entremos a trabajar en SATINFO, esperamos encontrar la muestra enviada para proceder a analizarla y controlarla, de lo cual informaremos



saludos



ms, 15-12-2008

[chrisden33]

Saludos, bueno decir que revisando mi maquina no halle el archivo en su ubicación (C:\windows\system32), pero antes de reiniciar el sistema para su completa eliminacion como pedia el elistara hice una copia de el archivo y tiene un tamaño de 171.008 kb, se los mandare para su verificación.

[msc hotline sat]

Pues lo analizaremos, pero mientras, copie dicho fichero de otro ordenador con el mismo sistema opeartivo en la carpeta de sistema.



saludos



ms, 15-12-2008

[chrisden33]

SAludos, bueno les comento que me tope con un problema, resulta que en la maquina de mi trabajo tengo el mismo sistema operativo, entonces al revisar los archivos sel System32 me dije porsi acaso lo revisare, y lo analiza el equipo con el elistara y me detecto varios 3 archivos infectados y .... pues si el archivo DLL tambien estaba infectado con el mismo toyano y lo elimino. ¿que puedo hacer ahora? alguna sugerencia?

[msc hotline sat]

No lo elimines, vamos a ver si es algun falso positivo con alguna version del XP, posiblemente por falta de parches, ya que la nuestra XP Profesional con SP3 no lo detecta...



mañana lo vemos, pero de momento no lo elimines, vamos a estudiarlo.



saludos



ms, 15-12-2008

[msc hotline sat]

Y ya vemos que en este equipo tienes inatalado el SP3, pero dinos si es XP HOME o profesional, porque ahi podría estar la causa..



saludos



ms, 15-12-2008

[chrisden33]

La verdad me dejaste desconcertado, las versiones que tengo en estas 2 maquinas (trabajo y casa) son las misma y segun propiedades en Mi Pc (boton derecho sobre el icono mi pc) son Windows XP Profesional Service Pack 2. como dije en las dos encontro el mismo toyano (KillAv.Bal), tambien digo que ya estoy bajando el SP3 desde la pagina de microsoft.

[msc hotline sat]

Efectivamente, ahi puede estar el problema:



Windows XP Profesional Service Pack 2



Espero que tras instalar el SP3 ya se solucione el problema, pues puede haber una coincidencia de cadenas con el fichero sin parchear.



Cuentanos si tras dicha actualizacion de parches persiste la deteccion, i, como esperamos, quede todo solucionado.



saludos



ms, 16-12-2008

[chrisden33]

Bueno, recordando antes que se me olvide esto talvez tuvo algo que ver, hace un par de semanas antes de este problema de troyanos en ambas maquinas (trabajo y casa) me salio un mensaje de alerta de windows que decia que archivos esenciales se habian reemplazado por versiones desconocidas, que debia insertar el disco de instalacion para solucionarlos, pero de nada servia ya que cuando lo insertaba el cd, me decia que no era la version correcta y no me permitia me salia el error asi que tuve que ponerle ignorar tres veces, porque la verdad no sabia que hacer, no importaba si ponia el disco de instalacion no lo queria reconocer. No se si sirva de algo, pero bueno es mejor informar todo lo que pasa.





Saludos.

[msc hotline sat]

Si, prueba el nuevo ELISTARA 17.63 QUE HACEMOS HOY



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





SALUDOS



MS, 16-12-2008

[chrisden33]

Saludos, bueno ya termine de bajar e instalar el SP3, tambien ya realize un escaneo con las utilidades (elistara, eliltrip y eligbala) y no enontraron nada, pero todavia tengo una duda, ya que con este problema de di cuenta de que mi antivirus (avast) no esta haceiendo una tarea, resulta que lo tengo configurado para que compruebe las unidades (diskette, lectores CD/DVD y penndrives) al momento de salir/apagar la pc, pero ahora se sale sin siquiera informarme pese a que tengo CD/DVD en los lectores. Sera que es algo que hizo la infeccion que no puedo repararla, ya que desinstale y reinstale el antivirus y nada, sigue sin comprobar si no tengo nada en las unidades. Alguna solución?

[msc hotline sat]

Pues por si se tratara de algo no controlado, lance este AV ONLINE y poosteenos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]









NOTA: Parece ser que ultimamente este link da LICENCIA CADUCADA, probar este otro:



http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...





Saludos



ms, 17-12-2008

[chrisden33]

Saludos, ¿tiene que ser el anttivirus online del kaspersky necesariamente?, ya voy como 2 horas y media y sigue analizando la configuracion de msi sistema. O puedo probar con otro antivirus online, ademas tarda mucho en actualizar la base de datos del kaspersky.

[msc hotline sat]

Para usar otro, ya tienes el tuyo ! . La cuestion es que este llega donde no llegan los demas, y aunque lento y conflictivo para con los demas, es con el que complementamos incluso los clientes a los que instalamos dos antivirus, el McAfee para los puestos de trabajo y el Kaspersky perimetral, dentro de nuestros UTM Tuxgate o Tuxguard.



Y ademas, solo tienes que estar altanto de iniciarlo para que descargue las actualizaciones e irte a desayunar (o comer o cenar) y a la vuelta, escoger MIPC o MY COMPUTER y que busque... e irte a dormir , y cuando despiertes guardar el informe y postearlo



Piensa que tras todo lo que has hecho, si el AVAST ya no te detecta nada, ni nuestras utilidades tampoco, requieres algo mas...



Bueno, si antes quieres lanzar el ANTIROOTKIT DE MCAFEE, por si vieramos algun fichero en proceso oculto, esto es rapido y complementa todo lo hecho..., a lo mejor van por aqui los tiros ??? Tras ello, posteanos el resultado y procederemos, a lo mejor te ahorras lo del Kaspersky, que ya avisamos es muy lento !



ACCESO AL LINK DEL ROOTKIT DETECTIVE DE MCAFEE:

http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



SALUDOS



MS, 18-12-2008

ref BOL-17.0-65.0





NOTA: Veo que dices que ya llevas dos horas y media... ! quizas lo ralentiza mas de la medida el antivirus que tengas residente, aunque me pareció entender que estaba desactivado, pero si no fuera asi, desatrivalo ! ms.

[chrisden33]

Saludos, bueno ya revise con el McAfee, y aqui esta el log:



McAfee(R) Rootkit Detective 1.1 scan report

On 18-12-2008 at 07:40:52

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: SSDT-hook

Object-Name: ZwClose

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwDeleteValueKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwDuplicateObject

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwEnumerateKey

Object-Path: \SystemRoot\System32\drivers\spoo.sys



Object-Type: SSDT-hook

Object-Name: ZwEnumerateValueKey

Object-Path: \SystemRoot\System32\drivers\spoo.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenThread

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwQueryKey

Object-Path: \SystemRoot\System32\drivers\spoo.sys



Object-Type: SSDT-hook

Object-Name: ZwQueryValueKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwRestoreKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_POWER

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_READ

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE

Object-Path:



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 00000001ontrolSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: jdgg40\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Status: Hidden



Object-Type: Registry-key

Object-Name: jdgg41\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Status: Hidden



Object-Type: Registry-value

Object-Name: a0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: p0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000001ontrolSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-key

Object-Name: jdgg40\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Status: Hidden



Object-Type: Registry-key

Object-Name: jdgg41\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Status: Hidden



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000001ontrolSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-key

Object-Name: jdgg40\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Status: Hidden



Object-Type: Registry-key

Object-Name: jdgg41\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 00000001ontrolSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: jdgg40\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Status: Hidden



Object-Type: Registry-key

Object-Name: jdgg41\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Status: Hidden



Object-Type: Registry-value

Object-Name: a0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: p0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Process

Object-Name: svchost.exe

Pid: 1084

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1892

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: jusched.exe

Pid: 220

Object-Path: C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: TaskSwitchXP.ex

Pid: 284

Object-Path: C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

Status: Visible



Object-Type: Process

Object-Name: nvsvc32.exe

Pid: 2144

Object-Path: C:\WINDOWS\system32\nvsvc32.exe

Status: Visible



Object-Type: Process

Object-Name: jucheck.exe

Pid: 1028

Object-Path: C:\Archivos de programa\Java\jre1.6.0_03\bin\jucheck.exe

Status: Visible



Object-Type: Process

Object-Name: pctspk.exe

Pid: 2020

Object-Path: C:\WINDOWS\system32\pctspk.exe

Status: Visible



Object-Type: Process

Object-Name: services.exe

Pid: 812

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: aswUpdSv.exe

Pid: 1432

Object-Path: C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

Status: Visible



Object-Type: Process

Object-Name: NMBgMonitor.exe

Pid: 348

Object-Path: C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 1652

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: wuauclt.exe

Pid: 3948

Object-Path: C:\WINDOWS\system32\wuauclt.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 2616

Object-Path: D:\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: rundll32.exe

Pid: 1996

Object-Path: C:\WINDOWS\system32\RUNDLL32.EXE

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1160

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: PV92Tray.exe

Pid: 2028

Object-Path: C:\WINDOWS\system32\PV92Tray.exe

Status: Visible



Object-Type: Process

Object-Name: TeaTimer.exe

Pid: 324

Object-Path: C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleToolbarNo

Pid: 356

Object-Path: C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Status: Visible



Object-Type: Process

Object-Name: ashMaiSv.exe

Pid: 2836

Object-Path: C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

Status: Visible



Object-Type: Process

Object-Name: NMIndexStoreSvr

Pid: 3208

Object-Path: C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 976

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: ashWebSv.exe

Pid: 2868

Object-Path: C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

Status: Visible



Object-Type: Process

Object-Name: P3XRCtl.exe

Pid: 420

Object-Path: C:\Archivos de programa\KAIOMY Multimedia\TVnPC P7 Utilities\P3XRCtl.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 668

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: TotRecSched.exe

Pid: 204

Object-Path: C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 824

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: alg.exe

Pid: 3212

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible



Object-Type: Process

Object-Name: msiexec.exe

Pid: 3708

Object-Path: C:\WINDOWS\system32\msiexec.exe

Status: Visible



Object-Type: Process

Object-Name: jre-6u11-window

Pid: 3832

Object-Path: C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\jre-6u11-windows-i586-p-iftw_196cf524.exe

Status: Visible



Object-Type: Process

Object-Name: rundll32.exe

Pid: 1972

Object-Path: C:\WINDOWS\system32\RunDll32.exe

Status: Visible



Object-Type: Process

Object-Name: ObjectDock.exe

Pid: 516

Object-Path: C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

Status: Visible



Object-Type: Process

Object-Name: VM_STI.EXE

Pid: 2036

Object-Path: C:\WINDOWS\VM_STI.EXE

Status: Visible



Object-Type: Process

Object-Name: NBService.exe

Pid: 1540

Object-Path: C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1044

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 2192

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: StarWindService

Pid: 2224

Object-Path: C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Status: Visible



Object-Type: Process

Object-Name: wuauclt.exe

Pid: 2720

Object-Path: C:\WINDOWS\system32\wuauclt.exe

Status: Visible



Object-Type: Process

Object-Name: WLLoginProxy.ex

Pid: 3712

Object-Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 2256

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 768

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleUpdaterSe

Pid: 1172

Object-Path: C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

Status: Visible



Object-Type: Process

Object-Name: ashDisp.exe

Pid: 212

Object-Path: C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

Status: Visible



Object-Type: Process

Object-Name: NMIndexingServi

Pid: 3064

Object-Path: C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 2568

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 740

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Object-Type: Process

Object-Name: ashServ.exe

Pid: 1484

Object-Path: C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

Status: Visible



Object-Type: Process

Object-Name: CALMAIN.exe

Pid: 2788

Object-Path: C:\Archivos de programa\Canon\CAL\CALMAIN.exe

Status: Visible



Scan complete. Hidden registry keys/values: 38



y bueno, una consulta mas, ¿cuandos KB tiene que bajar para actualizar el Kaspersky?, lo digo porque comienza por querer bajar 39591 Kb, pero al llegar al 80% mas o menos dice que tiene que bajar 70800 Kb. ¿es normal?

[msc hotline sat]

Pues no tienes ficheros ocultos, solo claves, asi que no hay ficheros que oculte un rootkit ...:



[b][i]"Scan complete. Hidden registry keys/values: 38" [/i][/b]



Y sí, deja que baje del todo, ya estas en la mitad...



Quizas te incordia tu antivirus. Si pierdes la paciencia, arranca en modo seguro con funciones de red y lanza el AV ONLINE asi, que no habrá nada mas que el sistema residente, y quizas saldrás ganando, aunque vuelvas a empezar.



saludos



ms, 18-12-2008

[chrisden33]

Escaneo completo, aqui esta el reporte:

Friday, December 19, 2008

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Thursday, December 18, 2008 13:23:16

Records in database: 1476560





Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes



Scan area My Computer

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

K:\

L:\

M:\



Scan statistics

Files scanned 140858

Threat name 3

Infected objects 6

Suspicious objects 0

Duration of the scan 07:14:15



File name Threat name Threats count

I:\desktop\Gamez\abspatws.exe Infected: Trojan-Downloader.Win32.IstBar.er 1



I:\desktop\Gamez\abspatws.exe Infected: not-a-virus:AdWare.Win32.WebHancer.351 1



I:\desktop\Gamez\abspatws.exe Infected: not-a-virus:AdWare.Win32.WebHancer 4



The selected area was scanned.



Cabe informar que cuando instale el programa "Absolute Patience" (abspatws.exe), el avast me detecto un troyano y no lo permitio completarse solo su instalacion, el programa se instalo correctamente, despues hice correr el spybot y elimine a webhacer y otro, creo que era el istbar, despues no encontre problemas.

[msc hotline sat]

Pues lo unico que se detecta está en este fichero:



I:\desktop\Gamez\abspatws.exe



Envianoslo para analizar, y luego le cambias es nombre añadiendole extension.vir, de forma que quede I:\desktop\Gamez\abspatws.exe.VIR y asi ya no se pondrá en uso a partir del proximo reinicio, a la espera que analicemos lo que nos envies e informemos:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 19-12-2008

[chrisden33]

Bueno, ya mande el archivo abspatws.exe, y ueno no se que mas hacer como comente, estoy algo indeciso son mi antivirus (Avast) no se si esta controlando bien, como dije lo tenia configurado para revisar si no tenia CD/DVD en los lectores al momento de apagar y notificarme que estaba con un medio extraible, asi yo lo extraia y recien se podia apagar. ¿sera que algo elimino el troyano?

[msc hotline sat]

No nos consta haber recibido el fichero indicado.



Mejor vuelvelo a enviar, siguiendo las indicaciones, claro:



[/img][b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 22-12-2008

[chrisden33]

Trato de mandar el archivo, comprimido o sin comprimir, con la extension renombrada a VIR y no me permite, me salta un mensaje: Valida (fichero,pym_msj_fichero)

[msc hotline sat]

Quizas olvidas lo mas importante, y es que esté empaquetado con password "virus", sino puede ser interceptado por cualquier antivirus, desde el del servidor de este foro a cualquiera de la red y no llegar a su destino.



recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=24875



saludos



ms, 23-12-2008