Downloader - System security

[matiazhgianny]

Les escribo por un problema que tengo con un virus (creo que se denominan downloaders) que intentan descargarme supuestos antivirus que me dice que necesito para eliminar diferentes virus que tiene mi pc. A esto se le suma la lentitud de la maquina para realizar cualquier tipo de accion. No se si sea importante pero el nombre del antivirus que me intenta descargar se llama System security...



Muchas gracias por su ayuda y espero poder resolver el problema a tiempo.



saludos.

[matiazhgianny]

Les adjunto el log del elistara y el Sprocess ademas de enviar las muestras pedidas por el elistara .





Fri Jan 02 11:29:49 2009

EliStartPage v17.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\GASRETYW0.DLL.VIR.VIR --> Eliminado, PWS-OnLineGames.Kamsoft



Nº Total de Directorios: 5593

Nº Total de Ficheros: 57161

Nº de Ficheros Analizados: 13792

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Jan 02 23:27:59 2009

EliStartPage v17.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\system32\zhi220.dll.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\ZHI220.DLL.Muestra EliStartPage v17.72

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ZHI220.DLL --> Renombrado a .VIR

Eliminada Class, "{CE7C3CF0-4B15-11D1-ABED-709549C10000}" -> C:\WINDOWS\system32\zhi220.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Sat Jan 03 11:57:50 2009

EliStartPage v17.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jan 03 12:58:35 2009

EliStartPage v17.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\system32\zhi220.dll.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\ZHI220.DLL.Muestra EliStartPage v17.72

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ZHI220.DLL --> Renombrado a .VIR

Eliminada Class, "{CE7C3CF0-4B15-11D1-ABED-709549C10000}" -> C:\WINDOWS\system32\zhi220.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Sat Jan 03 13:08:12 2009

EliStartPage v17.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jan 03 13:08:23 2009

EliStartPage v17.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\DelPSGuard\DPSG.EXE --> Eliminado, Generic.Packed



Nº Total de Directorios: 5550

Nº Total de Ficheros: 57376

Nº de Ficheros Analizados: 13872

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sat Jan 03 12:56:50 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: MATIAS-039D3D2A

Nombre Usuario: matiaz



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPIORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\1672591971\914537631.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\KODAK\KODAK EASYSHARE SOFTWARE\BIN\EASYSHARE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\COMMON\GOOGLE UPDATER\GOOGLEUPDATERSERVICE.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLUSBSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\MATIAZ\ESCRITORIO\ELISTARA\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file)

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\zhi220.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [zhido] C:\WINDOWS\system32\zhido.exe

O4 - HKCU\..\Run: [EPSON Stylus CX5600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAL.EXE /FU "C:\WINDOWS\TEMP\E_S118.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [914537631] "C:\Documents and Settings\All Users\Application Data\1672591971\914537631.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - Startup: Adobe Gamma.lnk

O4 - Startup: desktop.ini

O4 - Startup: hamachi.lnk

O4 - Global Startup: AutoCAD Startup Accelerator.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Software Kodak EasyShare.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {C5F43BEF-CE2F-46D8-AFE6-A647BACD1F09} - hook dll rising - C:\WINDOWS\system32\haozs1.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: epfw - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfw.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys

O23 - Service: Service for WDM 3D Audio Driver (ALCXSENS) - Sensaura Ltd - C:\WINDOWS\SYSTEM32\drivers\ALCXSENS.SYS

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: ddsxeiservice2 (ddsxeiservice) - Unknown owner - C:\Archivos de programa\sXe Injected\ddsxei.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Personal Firewall (Epfwndis) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\Epfwndis.sys

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: GMSIPCI - Unknown owner - F:\INSTALL\GMSIPCI.SYS (file missing)

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: NTACCESS - Unknown owner - F:\NTACCESS.sys (file missing)

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SetupNTGLM7X - Unknown owner - F:\NTGLM7X.sys (file missing)

O23 - Service: Controlador de adaptador Fast Ethernet SiS PCI (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



37 Servicios.

9 de Carga Automatica.

27 de Carga Manual.

1 Deshabilitados.





saludos.

[lucl]

Este



O4 - HKCU\..\Run: [zhido] C:\WINDOWS\system32\zhido.exe



cambiale la estension .exe por .vir y reinicia el pc y dinos si notas mejoras, ademas envianoslo para analizarlo



y con este haz lo mismo



C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\1672591971\914537631.EXE



y ya el lunes te diran algo sobre las muestras. Muy importante es que nos digas si tras renombrarlos notas mejoras en el pc, gracias saludos

[matiazhgianny]

Mira, este archivo que me diste para cambiarle la extensión no me aparece en dicha carpeta:

O4 - HKCU\..\Run: [zhido] C:\WINDOWS\system32\zhido.exe

Desde ya muchas gracias, espero tu respuesta.



Por otra parte el otro archivo que me diste para cambiarle la extensión, cuando fui a la carpeta para cambiarlo, el archivo tenia el nombre 914537631 pero no tenia la extension exe, igualmente le agregue vir, pero no creo que haya estado correcto como lo hice.

[flacoroo]

[color=#0000BF]C:\WINDOWS\system32\zhido.exe [/color] ve a esta ruta, despues en la parte de arriba donde dice herramientas; opciones de carpetas; pestaña ver; y darle click donde dice mostrar archivos y programas ocultos, y despues en la parte de abajo debes deshabilitar la opcion ocultar archivos protegidos y ocultar las extensiones, despues le das aplicar y aceptar y buscar el archivo en cuestion......

[matiazhgianny]

Gracias, logré cambiarle las extensiones a los archivos siguiendo tus pasos, y ahora cambió notablemente el funcionamiento de la pc. Funciona mucho mejor; igualmente creo que tengo algunos virus, y esperaré el análisis de las muestras que dejé hasta el lunes.

Muchisimas gracias, saludos, y buen inicio de año.

[lucl]

Recuerda que te pedi que nos enviaras las muestras tambien de los archivos que hemos renombrado a .VIR, gracias. Esta claro que eso es la madre del cordero pero debes enviarlos para analizarlos y darte las herramientas necesarias. Tu de momento mantenlos renombrados y ya el lunes los eliminamos saludos

[flacoroo]

las muestras solicitadas por Lucl debes asi como estan comprimirlas y ponerle la contraseña virus, despues vas al post que abristes en zonavirus y en la parte de arriba hay un menu y donde dice [color=#000080]envio de muestras [/color]le das click y sigues los pasos....de esa manera se actualizaran las herramientas para que limpies, repares y elimines tus problemas....

[msc hotline sat]

Y aparte, enviarnos el que se pide en el infosat.txt:



[b][i]Por favor, envienos una muestra del fichero

C:\Muestras\ZHI220.DLL.Muestra EliStartPage v17.72[/i][/b]





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







y como sea que tambien indica:



No detectado SP3 de Windows XP



pues lanza un windowsupdate y actualiza parches, instalando el SP3 y posteriores criticos, como el MS08-067 y el MS08-078





y paso a analizar el log del SPROCES...



Vaya, pues aparte de la normal carga del EXPLORER.EXE, vemos que cargar este que sin duda es maliciosos:



C:\WINDOWS\[b][i]EXPIORER.EXE[/i][/b] (fijarse que en medio tiene una I en lugar de una L)



envianoslo tambien para analizar, junto con este otro sospechoso:



C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\1672591971\[b][i]914537631.EXE [/i][/b]





Es muy raro que tanto el ZHIDO.EXE pedido en post anteriores como estos ultimos no los detecte el NOD32, Compruebe que lo tiene bien actualizado...



Cuando recibamos las muestras las analiuzaremos e implementaremos su control y eliminaicon, si procede, en nuestras utilidades, de lo cual informaremos, pero mientras, añada la extensio .VIR a estos ficheros que hemos indicado que nos envie, para que no se pongan en uso a partir del proximo reinicio.



saludos



ms, 3-1-2009

[msc hotline sat]

Analizadas las muestras, pasamos a implementar su control y eliminacion en el ELISTARA 17.74 de hoy, como ONLINE GAMES y Blackstone



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



Como sea que es propio de propagarse por pendrive, vacune ordenador y pendrives con el ELIPEN:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







saludos



ms, 7-1-2009