Probable virus ¡ayuda! (SOLUCIONADO)

[spockkk]

soy nuevo es ente foro y esto se debe a que he tenido problemas con mi maquina que tal vez ustedes puedan ayudarme a solucionar.

Tengo una computadora en mi casa sin acceso a internet, creo que se contagio atravez de una memoria USB ya que una maquina de un compañero en el trabajo tiene los mismos sintomas que mi maquina y desraciadamente cometi el error de compartir informacion con una memoria USB entre ambas maquinas.

Los problemas que e detectado son los siguientes, empezo por comportarse lenta por lo que instale los antivirus AVg, Clamwin, NOD 32 entre otros. Ninguno de los anteriores detecta algun virus. Quise correr los antivirus en modo a prueba de fallos pero me di cuenta que no tengo acceso al menu de arranque con F8, tampoco me deja acceder al adminstrador de tareas de windows, cuando lo trato de hacer me dice que "fue desabilitado por el administrador" y por si esto fuera poco tambien me muestra dos opciones de arranque con el sistema windows wp al iniciar la maquina, como si tuviera dos sistemas operativos instalados.

Algunos amigos me dijeron que ese virus no se puede quitar, ya que contagia archivos del sistema, que debo formater mi maquina, pero tengo informacion que si respaldo probablemente respaldaria con todo y el virus y se volveria a contagiar mi maquina cuando use el respaldo. En eso estaba cuando descubri este foro y por lo que he podido leer hay algunos casos parecidos al mio y lo an podido resolver con algunas aplicaciones que ustedes tienen, sobre todo lei un caso en donde pudo resolver un usuario un problema similar utilizando "Elistara" asi que descargue la utilidad y la pienso usar en mi maquina pero teno la duda de si se puede utilizar sin estar conectado a internet.



De antemano gracias por su ayuda

[msc hotline sat]

Sí, el ELISTARA es nuestra utilidad estrella, en la que vamos implementando a diario el control de las muestras de troyanos que nos van llegando, y tiene dos funciones, controlar y eliminar los malwares conocidos y pedir muestras de los desconocidos que heuristicamente detecta sospechosos, pero aun quedan los los totalmente desconocidos, para los cuales disponemos del SPROCES, herramienta de investigación que aparte de permitir visualizar y detener procesos y modulos activos, crea un informe en c:\sproclog.txt en el que podemos ver los ficheros residentes y las claves de registro que lanzan las aplicaciones, bien en los arranques (O4 RUN), bien cuando se abre el I.E. (O2 BHO), y las modificaciones en el HOSTS, las modificaciones en la configuraicon del servidor de DNS, los servicios que lanza, cuales carga incluso en modo seguro, etc.



Pero para los virus que se propagan por pendrive, como parece ser el caso, ademas disponemos de una utilidad excepcional que vacuna por una parte el oredenador donde se ejecuta, y por otra los pendrives que se procesen indicando unidad a procesar y colocando dicho pendrive en el port USB en cuestion.



Por ello de entrada le sugiero vacune su ordenador y todos su pendrives con el ELIPEN:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



Luego descargue el actual ELISTARA y pruebelo:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Y en dicho informe infosat.txt veremos lo que han hecho dichas utilidades y si hay que hacer algo mas, como probar el SPROCES y postearnos su log resultante para analizarlo e indicarle que nos envie muestras de los ficheros sospechosos o que elimine determinadas claves, o cambie extension de algunos ficheros, para aparcarlos a partir del proximo reinicio, etc.



Así que tras vacunar con el ELIPEN, pruebe el ELISTARA, tanto en el ordenador como en los pendrives, y sobre todo posteenos el informe resultante para poder obrar en consecuencia



saludos



ms, 21-10-2008

[spockkk]

¡Que tal!



No pense que la respuesta en el foro fuera tan rapida, fue una grata sorpresa, sin embargo creo que cometi un error. Segun entiendo de la respuesta a mi tema, primero deberia de haber utilizado Elipen y despues Elistara, yo hice lo contrario ya que desconocia el programa Elipen, despues baje Elipen y vacune mis discos duros y mis unidades USB. A continuacion les pongo lo que salio en el reporte Infosat del Elistara antes de haber utilizado Elipen.





Mon Oct 20 22:28:13 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Entrada Eliminada [HKLM\...\Run] "wscmgr"="C:\WINDOWS\wscmgr.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Oct 20 22:47:40 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



Nº Total de Directorios: 3227

Nº Total de Ficheros: 39590

Nº de Ficheros Analizados: 11268

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Mon Oct 20 23:00:27 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\LALALAX.EXE --> Eliminado, AutoRun(Recycle)

D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\AUTORUN.EXE --> Eliminado, AutoRun.DHA



Nº Total de Directorios: 71

Nº Total de Ficheros: 720

Nº de Ficheros Analizados: 159

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2





Despues de utilizar "Elistara" ya pude otra vez acceder al "admistrador de tareas" de windows, pero al iniciar el ordenador sigue mostrando dos sistemas operativos (los dos de windows wp) uno es la instalacion valida y en la otro marca un error que dice que no se encontro el sistema operativo. Tambien cabe señalar algo que en mi mensaje anterior omiti, otro de los sintomas de mi maquina es que el explorador de windows no podia abrir las unidades C: y D: cuando daba doble click sobre alguna de estas opciones me aparecia un cuadro de dialogo donde se tiene una lista de aliplicaciones para poder abrir el elemento seleccionado, es decir, el explorardor trataba las unidades C: y D: como archivos, no como unidades de almacenamiento. Despues de utilizar "Elistara" este problema se resolvio para la unidad C: (donde tengo instalado el sistema operativo) pero persiste en la unidad D:



Por eso decidi utilizar "Hijackthis" que segun entiendo es una utilidad que escanea los procesos activos del sistema, con esa informacion ustedes pueden determinar si se tiene cargado algo indevido, aqui les pongo los resultado del hijackthis.txt





Logfile of HijackThis v1.99.1

Scan saved at 11:13:17 p.m., on 21/10/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\windows\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\windows\system32\wscntfy.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\windows\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\Webshots\webshots.scr

C:\Documents and Settings\Spockkkkk\Escritorio\Winproch\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll (file missing)

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe

O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Spockkkkk\Configuración local\Datos de programa\smss.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC627BA6-D4E7-4DDC-A961-FC86122B4F9C}: NameServer = 150.200.140.80

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: igfxcui - C:\windows\SYSTEM32\igfxsrvc.dll

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe





Por lo que puedo ver el sistema todavia busca un archivo de la instalacion que tenia de AVG, pero ya lo desintale, asi que no se porque siga haciendo la llamada a ese archivo DLL y no se como quitarlo, asi que necesito su ayuda para saber cual es el siguiente paso, de antemano gracias por su ayuda y tiempo.

[msc hotline sat]

De entrada recuerda lanzar un windowsupdate e instalar el SP3, pues vemos : No detectado SP3 de Windows XP





y aqui tienes un malware:



C:\Documents and Settings\Spockkkkk\Configuración local\Datos de programa\smss.exe



El fichero SMSS.EXE de windows está en la carpeta de sistema (C:\windows\system32\), este de ahí debe ser un malware !!!



Podría ser un Backdoor CMQ, prueba el ELITRIIP y nos posteas el contenido de c:\infosat.txt resultante:



http://www.zonavirus.com/descargas/elitriip.asp



Sino lo detecta, envianos muestra para analizar, pero no el del de sistema !!!





y esta clave, O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll (file missing) , simplemente lance el HJT, seleccione la segunda opcion,. marque la casilla de la izquierda de dicha clave y pulse FIX CHECKED.





Y nos comentas el resultado, gracias



saludos



ms, 22-10-2008

[spockkk]

Ya corri Elitrip en mi ordenador, no encontro nada en absoluto, en ninguno de los dos discos duros, busque el archivo "smss.exe" en el directorio especficado (no el del sistema) y no encontre nada, revise con archivos ocultos y nada, no existe tal archivo en el directorio, lo busque utilizando unicamente simbolo de sistema y no encontre nada, lo que si hay en esa ruta es un monton de direcctorios con nombres raros, y tambien encontre una especie de lista de correos electronicos pero con nombres tambien raros, ¿¿¿porque digo que raros??? porque no los conzco, porque no tenian los clasicos @hotmail o algo parecido sino dominos que nunca habia visto, y porque los nicks eran cosas como "viagra@?????, y cosas por el estilo.



Como no puede encontrar el archivo no puedo mandarles la muestra, por las dudas volvi a correr HJT pero ya no aparece la llamada



C:\Documents and Settings\Spockkkkk\Configuración local\Datos de programa\smss.exe



No se que procede a continuacion, mi maquina ya muestra el admintrador de tareas de windows, ya parece que reacciona mejor, un poco mas rapido, ya puede entrar el modo a prueba de fallas con el F8 y ya reconoce en el explorador las unidades C: y D: como unidades de almacenamiento (aunque esto no se si lo haga porque ya no existe el virus o malware o porque Elipen inabilito los Autoini, si es esto lo que paso todavia tengo el virus en el sistema). Lo que si persiste es que al reiniciar el sistema se siguen presentado dos sistemas operativos en un menu de inicio (los dos de windows wp y los dicen (prederterminado)





De antemano gracias por la ayuda

[msc hotline sat]

Pues veamos el infosat.txt actual, y si el ELITRIIP no ha eliminado el fichero, al menos ha eliminado las claves de registro que lo lanzaban y ha restaurado las claves modificadas, asi que una vez veamos que no indica nada mas en el infosat, ya podremos dar por solucionado el Tema



saludos



ms, 23-10-2008

[spockkk]

Este es el infosat actual.





Mon Oct 20 22:28:13 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Entrada Eliminada [HKLM\...\Run] "wscmgr"="C:\WINDOWS\wscmgr.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Oct 20 22:47:40 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



Nº Total de Directorios: 3227

Nº Total de Ficheros: 39590

Nº de Ficheros Analizados: 11268

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Mon Oct 20 23:00:27 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\LALALAX.EXE --> Eliminado, AutoRun(Recycle)

D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\AUTORUN.EXE --> Eliminado, AutoRun.DHA



Nº Total de Directorios: 71

Nº Total de Ficheros: 720

Nº de Ficheros Analizados: 159

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Tue Oct 21 23:08:21 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado D:\Autorun.inf

OPEN=22WCB21O.EXE

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida



Tue Oct 21 23:09:16 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 21 23:09:25 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 629

Nº Total de Ficheros: 4838

Nº de Ficheros Analizados: 561

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Oct 21 23:26:18 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida



Wed Oct 22 22:24:55 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "Tok-Cirrhatus"=""C:\Documents and Settings\Spockkkkk\Configuración local\Datos de programa\smss.exe""

No detectado SP3 de Windows XP



Wed Oct 22 22:25:02 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3232

Nº Total de Ficheros: 39627

Nº de Ficheros Analizados: 11389

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 22 22:34:01 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 629

Nº Total de Ficheros: 4838

Nº de Ficheros Analizados: 600

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 22 22:41:24 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed Oct 22 22:41:28 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3233

Nº Total de Ficheros: 39631

Nº de Ficheros Analizados: 11389

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 22 22:50:34 2008

EliTriIP v5.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 629

Nº Total de Ficheros: 4838

Nº de Ficheros Analizados: 600

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 22 22:51:49 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 22 22:52:01 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3229

Nº Total de Ficheros: 39626

Nº de Ficheros Analizados: 11273

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 22 23:05:41 2008

EliStartPage v17.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 629

Nº Total de Ficheros: 4838

Nº de Ficheros Analizados: 561

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Antes de dar por solucionado el tema me gustaria saber que puedo hacer con el arranque que me sigue mostrando dos sistemas operativos. No se si sea prudente correr un Sproces, aunque el error se presenta antes de cargar cualquier proceso, ¿¿¿que me aconsejan????

[lucl]

Si que puedes hacerlo, de hecho va mas alla que el hijackthis o sea que igual encontramos alguna cosa mas, ejecutalo y peganos el log que te dejara en C llamado sproclog saludos





http://www.zonavirus.com/descargas/sproces.asp

[msc hotline sat]

Y en particular veo que con el ELIPEN se vió un AUTORUN.INF que lanzaba un 22WCB21O.EXE que no se ha eliminado...


[quote]Detectado D:\Autorun.inf

OPEN=22WCB21O.EXE

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida[/quote]

Mira de localizar dicho fichero y nos envias el AUTORUN.OLD y el 22WCB21O.EXE para analizar y controlar (y posiblemente eliminarlo en todas partes que puedas tenerlo, aun con otro nombre,....)



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 25-10-2008

[spockkk]

Buenas tardes.



He estado buscando desesperadamente el archivo que me dicen "22WCB21O.EXE" y no lo encuentro, ¿¿¿¿¿es posible que este oculto en algun lugar especifico de mi pc???? ¿¿¿¿que puedo hacer a continuacion????? porque sigue mostrando dos sistemas operativos en el arranque.

[msc hotline sat]

Lo tiene en unidad D: (Vd sabrá lo que es), y seguramente con atributos de sistema y ocultos, configure su windows para ver los ficheros con dichos atributos:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 29-10-2008

[spockkk]

Ya busque en D: y no encuentro el archivo. Hice un Sproces y esto sale.



Wed Oct 29 22:13:37 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INSTALLSHIELD\UPDATESERVICE\ISSCH.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIV~1\WEBSHOTS\WEBSHOTS.SCR

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\SPOCKKKKK\ESCRITORIO\WINPROCH\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - Startup: desktop.ini

O4 - Startup: Webshots.lnk

O4 - Global Startup: AutoCAD Startup Accelerator.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC627BA6-D4E7-4DDC-A961-FC86122B4F9C}: NameServer = 150.200.140.80

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sentinel - Rainbow Technologies, Inc. - C:\WINDOWS\System32\Drivers\SENTINEL.SYS



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: W2K Conexant Serial Device Driver (Ptserial) - PCTEL, INC. - C:\WINDOWS\SYSTEM32\DRIVERS\ptserial.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SiS PCI Fast Ethernet Adapter Driver (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: W2K Vmodem (Vmodem) - PCTEL, INC. - C:\WINDOWS\SYSTEM32\DRIVERS\vmodem.sys

O23 - Service: W2K Vpctcom (Vpctcom) - PCtel, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\vpctcom.sys

O23 - Service: W2K Vvoice (Vvoice) - PCtel, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\vvoice.sys

O23 - Service: Intel(R) Graphics Platform (SoftBIOS) Driver ({6080A529-897E-4629-A488-ABA0C29B635E}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmsbw.sys

O23 - Service: Intel(R) Graphics Chipset (KCH) Driver ({D31A0762-0CEB-444e-ACFF-B049A1F6FE91}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmkchw.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



20 Servicios.

5 de Carga Automatica.

14 de Carga Manual.

1 Deshabilitados.





Lo que si tengo es el Autorun.Inf.old ¿¿¿¿lo mando????

[msc hotline sat]

Le falta instalar parches:



Internet Explorer: (v6.0.2900.2180) ;SP2;ç



Lance un windowsupdate e instale el SP3 y posteriores que encuentre a faltar





y vemos que tiene como servidor de DNS, configurado esta IP:



150.200.140.80 US United States MO Missouri Saint Joseph 64507 39.7265 -94.7323 Missouri Western State College Missouri Western State College



Diganos si es voluntario ???



saludos



ms, 30-10-2008

[msc hotline sat]

Sin el que lanza no nos sirve. Dejelo, ya está aparcado al haber sido renombrado, pero el otro, que es realmente el malware ... si lo encuentra por alguna parte, envienoslo para controlarlo



Seguramente lo eliminó con algun antivirus que dejó el AUTORUN indicado, pero tal como está, con .OLD ya no hará nada.



saludos



ms, 30-10-2008

[spockkk]

El DNS no es voluntario.



En el primer mensaje enviado cuando plantee el problema que amablemente me estan ayudando a resolver comentaba que la maquina infectada no tiene acceso a internet. Se contagio por un pendrive. Por lo tanto no he podido lanzar el Update para actualizar windows, y tambien por lo tanto no se como pudo configurarse el DNS con ese servidor.



Gracias.

[msc hotline sat]

Es que puede ser que sus problemas de navegacion vengan por tener este DNS server configurado en el registro.



Y para que los malwares hagan estas modificaciones, no hace falta que se haya conectado a internet, sino simplemente ejecutar una aplicacion que instale en el registro dicha clave, y decia haber tenido contacto con un virus de pendrive, verdad ...



Pues con el CONFGDNS, cambie este DNS server por el que su ISP le aconseja, y seguramente tiene instalado, vealo con un IPCONFIG /ALL desde una ventana al DOS:



size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]





y tras ello, diganos si ya puede navegar... o si persiste algun problema, gracias



saludos



ms, 1-11-2008

[spockkk]

Hijole.



La verdad es que no entendi lo que tengo que hacer, no se que es el ConfgDNS y donde lo encuentro, ¿¿¿es una instruccion de MS-dos como un Dir???? o es una aplicacion que hay que descargar de la esta pagina??? si es un instruccion del MS-dos, esta disponible desde cualquier ubicacion, o hay que estar en el directorio del sistema??? y el IPCONFIG que es???????



Saludos.

[lucl]

El configdns aqui lo tienes descargalo y con este programa cambias las dns que puedes enterarte llamando a tu proveedor de internet o abriendo una ventana al dos, ve a inicio ---------todos los programas---------accesorios----------simbolo del sistema y pon IPCONFIG /ALL y te saldran tus dns. Saludos





CONFIGDNS:



http://www.zonavirus.com/descargas/confgdns.asp



Utilidad para cambiar los servidores DNS cuando el ELISTARA detecta que han sido cambiados los originales por otros no deseados.





Antes de ejecutar esta utilidad debe haberse contactado con el ISP (Proveedor de Servicios de Internet) para saber los que ellos sugieren utilizar, o conocer otros que se deseen implantar en su lugar.

[msc hotline sat]

Y cuentanos el resultado, para seguir ayudandote o dar por solucionado el Tema, gracias



saludos



ms, 12-11-2008

[spockkk]

Ok perdon por la demora.



Ya puedo navegar y parece que ya todo esta bien, solamente ha quedado el menu de inicio con dos sistemas operativos, ¿¿¿se puede solucionar eso????. De no haber nada mas que hacer les agradeceria dar por solucionado el tema



Muchas Gracias

[lucl]

Pasados mas de quince dias no debes postear en el mismo post, si no es para dar por solucionado el Tema. Si quieres contarnos algo hazlo en un post nuevo. Este lo damos por solucionado, segun indicas, y se cierra saludos