Problema con virus [AhnRpta.exe expiorer.exe]

[cacadperro]

He estado teniendo problemas con mi ordenador y vi que tenia estos dos archivos ejecutandose, que hasta donde segun se son virus. Me representan lentitud en el ordenador, y cuando cambio de un usuario a otro la pantalla se queda negra y tengo que reiniciar manualmente, algunas veces apretando el boton del ordenador, y otras desenchufandolo directamente :? .



Les dejo mi log y agradezco su ayuda.



Logfile of HijackThis v1.99.1

Scan saved at 10:18:11 p.m., on 19/01/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\expiorer.exe

C:\WINDOWS\AhnRpta.exe

C:\archivos de programa\powerstrip\pstrip.exe

C:\HP\KBD\KBD.EXE

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\DOCUME~1\paZtRy\CONFIG~1\Temp\help.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\paZtRy\Escritorio\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://mx.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://mx.search.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://mx.search.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [PowerStrip] c:\archivos de programa\powerstrip\pstrip.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe

O4 - HKCU\..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133657115530

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del iPod (iPod Service) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Archivos de programa\Infinitum\Infinitum\app\TangoService.exe (file missing)



Gracias de antemano.

[msc hotline sat]

Tienes varios malwares, entre ellos ONLINE GAMES, que quizas ya alguno está controlado con el actual ELISTARA, pruebalo:




[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Pero los ficheros que no elimine de los siguientes, envianoslos para analizar:



C:\WINDOWS\expiorer.exe (fijate que no es el EXPLORER.EXE !!!)



C:\WINDOWS\AhnRpta.exe



C:\WINDOWS\system32\amvo.exe



C:\WINDOWS\system32\vamsoft.exe



C:\WINDOWS\system32\urretnd.exe



C:\WINDOWS\system32\olhrwef.exe



C:\DOCUME~1\paZtRy\CONFIG~1\Temp\help.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 20-1-2009

[julibaga]

[quote="cacadperro"]


Platform: Windows XP SP2 (WinNT 5.01.2600)

C:\WINDOWS\expiorer.exe

C:\WINDOWS\AhnRpta.exe



O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe

O4 - HKCU\..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\systm32\olhrwef.exe



O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Archivos de programa\Infinitum\Infinitum\app\TangoService.exe (file missing)



Gracias de antemano.[/quote]

Primeo, veo que te falta el SP3 y posiblemente parches posteriores.

Las claves 04 que te menciono son virus y la clave 023 creo que la puedes eliminar.



Espera instrucciones de msc al respecto, pero puedes ir añadiéndole a los virus(claves 04) la extensión .VIR para que no se inicien. Luego los envías como se indica en el siguiente link:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Bájate Elistara y Elitriip y luego de ejecutarlos postea el log que te arroja en c:\infosat.txt

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp



Salu2

[julibaga]

:lol:

Se me adelantó msc mientras escribía. Es una bala!!



De todas formas, ahí quedda como complemento, si procede.

[msc hotline sat]

Es que a estas horas estamos en linea, julibaga, tu por trsnochar y yo por madrugar :mrgreen:



Bueno, lo del Tango Service, aparte de que puede que ya no esté el fichero (también poidría estar oculto), no creo que sea malware:



http://www.spyany.com/files/TangoService_exe.html



pero en los otros estamos de acuerdo ... :wink:



saludos



ms, 20-1-2009

[cacadperro]

Bueno amigos, aqui les pongo los virus ahnrpta y expiore en un zip con la contraseña "virus" sin comillas...



Los demas ya no pude enviarlos ya que el elistara los elimino jejeje, escanee antes de mandar, lo siento.



Y aqui les pongo lo que me dejo el elistara y elitrip:





Tue Jan 20 00:17:24 2009

EliStartPage v17.82 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado PWS-OnLineGames.AMVO

Por favor, envienos una muestra del fichero

C:\Muestras\KAV320.DLL.Muestra EliStartPage v17.82

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KAV320.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\CVNMHG0.DLL --> Eliminado PWS-OnLineGames.AMVO

C:\WINDOWS\SYSTEM32\VAMSOFT.EXE --> Eliminado PWS-OnLineGames.Vamsoft

C:\WINDOWS\SYSTEM32\CIUYTR0.DLL --> Eliminado PWS-OnLineGames.Vamsoft

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=gfqgq.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=gfqgq.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Jan 20 00:21:04 2009

EliStartPage v17.82 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\CEB6EU98.BAT --> Eliminado, PWS-OnLineGames.AMVO

C:\LN9.EXE --> Eliminado, PWS-OnLineGames.AMVO

C:\IQOSRTK.BAT --> Eliminado, PWS-OnLineGames.AMVO

C:\XRDYGG.BAT --> Eliminado, PWS-OnLineGames.AMVO

C:\BD3Q0QIX.EXE --> Eliminado, PWS-OnLineGames.Vamsoft

C:\X2TPC.CMD --> Eliminado, PWS-OnLineGames.Vamsoft

C:\2.EXE --> Eliminado, PWS-OnLineGames.AMVO

C:\WINDOWS\system32\CIUYTR1.DLL --> Eliminado, PWS-OnLineGames.Vamsoft

C:\WINDOWS\system32\CVNMHG1.DLL --> Eliminado, PWS-OnLineGames.AMVO

C:\Archivos de programa\Nero\Nero Core\UNEROAUDIODOCFILTER.DLL --> Eliminado, DownLoader.PF



Nº Total de Directorios: 6719

Nº Total de Ficheros: 83762

Nº de Ficheros Analizados: 19313

Nº de Ficheros Infectados: 10

Nº de Ficheros Limpiados: 10





Tue Jan 20 00:48:55 2009

EliTriIP v5.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Tue Jan 20 00:49:01 2009

EliTriIP v5.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6721

Nº Total de Ficheros: 83811

Nº de Ficheros Analizados: 16666

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



En cuanto a lo del Tango Service, se instalo con el software de mi antiguo modem y ya no lo puedo desinstalar.



                     [img]http://img85.imageshack.us/img85/3052/barrehorizontale55xx0.gif[/img]





: ELIMINADO FICHERO ANEXADO CON EMPAQUETADO DE FICHEROS SUPUESTAMENTE VIRICOS.

[msc hotline sat]

Se elimina el anexado de un fichero con muestras viricas. !!!



No se deben anexar, sino enviar por mail para analizar



De lo contrario cualquier visitante podría descargar virus desde este foro ! SOLO FALTARIA ESO :roll:



Recuerda:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-1-2009

[cacadperro]

[quote="msc hotline sat"]No se deben anexar, sino enviar por mail para analizar



De lo contrario cualquier visitante podría descargar virus desde este foro ! SOLO FALTARIA ESO :roll:



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-1-2009[/quote]

Lo siento jejeje, no pense en eso, ya envie los archivos al mail, espero su respuesta :) .

[msc hotline sat]

Pues descarga las nuevas versiones del ELISTARA y del ELITRIIP y pruebalas:



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 21-1-2009







NOTA: ver https://foros.zonavirus.com/viewtopic.php?f=11&t=27537

[cacadperro]

[quote="msc hotline sat"]Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 21-1-2009







NOTA: ver https://foros.zonavirus.com/viewtopic.php?f=11&t=27537[/quote]

Aqui esta el contenido, pero ni el Elitrip ni el Elistara me eliminaron nada.



Tue Jan 20 23:23:03 2009

EliTriIP v5.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Tue Jan 20 23:23:11 2009

EliTriIP v5.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6775

Nº Total de Ficheros: 85644

Nº de Ficheros Analizados: 19036

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jan 20 23:34:34 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 20 23:54:59 2009

EliStartPage v17.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6769

Nº Total de Ficheros: 84476

Nº de Ficheros Analizados: 21529

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

A la vista del infosat, he preguntado a los tecnicos que filtran y derivan los correos que llegan a nuestro servidor, y, en los mails de ayer y hoy a la cuenta de este foro, yno hay ninguna entrada de correo a la cuenta de zonavirus con tu nick. ¿ Es que no lo enviaste como te indicaba ???



Si no lo hiciste, hazlo para que sean analizadas y controladas, gracias.



Recuerda : https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 21-1-2009

[cacadperro]

He enviado las muestras con el formulario que aparece arriba, para que no halla fallo.

[msc hotline sat]

Pues no sé como, pero hemos encontrado muestras de un EXPiORER.EXE con un remitente que no es el tuyo: PAZTRY LANDA JUAREZ , vete a saber porqué...



Dicho fichero es un NOTEPAD.EXE renombrado con este picaresco nombre, lo cual puede ser que sea hecho por algun FAKE ALERT para eliminarlo y decir que ha detectado un virus... donde no es mas que un NOTEPAD, pero bueno, el caso es que puedes eliminar este fichero y listos



y el otro fichero, mas de lo mismo, copia identica del NOTEPAD.



El que le pediamos y no parece que nos haya enviado es :



KAV320.DLL





segun:


[quote]Tue Jan 20 00:17:24 2009

EliStartPage v17.82 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado PWS-OnLineGames.AMVO

Por favor, envienos una muestra del fichero

C:\Muestras\KAV320.DLL.Muestra EliStartPage v17.82[/quote]

Vd mismo ...



saludos



ms, 21-1-2009

[cacadperro]

Para eliminar esos supuestos notepad tengo que matar primero el proceso correspondiente desde el administrador de tareas, una vez que lo hago y los elimino, el administrador los vuelve a cargar y estos archivos vuelven a crearse, con respecto a la carpeta de muestras del disco C, la elimine sin darme cuenta en un intento de limpieza, ya que mi disco duro se esta quedando sin espacio y tiene solo 452mb de disco duro libre.

[msc hotline sat]

Dice: [b][i]"tiene solo 452mb de disco duro libre."[/i][/b]



Pues e muy poco espacio para hacer instalaicones y trabajar normalmente



Amplie con otro o vacie este ...



Y lo que indica de haber eliminado la muestra, ha quemado sus barcos, si ella no podemos saber la variante de ONLINE GAME del que este fichero formaba parte, y que posiblemnete sea la causa de su problema, asi que le sirva de experiencia...



Cada día controlamos mas variantes de esta familia, espero que pronto llegue el día que la suya quede controlada, y pueda librarse del mismo.



Y por si la conociuera este AV ONLINE, lancelo y posteenos el informe resultante:







http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 21-1-2009

[cacadperro]

Me parece haber encontrado la raiz de los virus Ahnrpta y Expiorer, es un archivo exe llamado olhrwef, les mando aqui lo que encontre, para que lo puedan examinar y me digan si es o no el causante de todo esto, yo no he podido eliminarlo hasta ahora, no se por que razon no me deja, y cuando lo hago se me vuelve a crear dicho archivo, espero respuesta, ya les he enviado el archivo en este tema.

[julibaga]

Renómbralo añadiéndole la extensión .vir para que no se carge al reiniciar.

También puedes subirlo avirustotal para examinarlo.

http://www.zonavirus.com/antivirus-on-line/

[msc hotline sat]

Vamos a ver ! Has probado el ELISTARA actual, 17.85 ???



:



---v17.85-(22 de Enero del 2009) (Muestras de (3)PWS-OnLineGames.CKVO, [b][i](14)PWS-OnLineGames.Olhrwef[/i][/b], (3)PWS-OnLineGames.Rttrwq, (2)PWS-OnLineGames.Vamsoft, AutoRun(Recycle) "CFG.EXE", NaviPromo, (3)Dropper.Kobcka "RS32NET.EXE", ZenoSearch "**WNW64*.EXE", (7)Refpron.20010, DownLoader.Agent.NB "EXPLOREDR.HTM", Dropper.VB.IMC "EXXXPLORER.EXE" y P2P-Worm.Agent.OL "EXPLOR.EXE")





Entre los 14 nuevas variantes de ONLINE GAME ya controlamos una con este nombre de fichero...



Tras probarlo, posteanos el informe resultantem gracias:




[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 23-1-2009

[cacadperro]

Aca esta mi log y ahora si, sin borrar nada, procedo a enviar los ficheros solicitados.



Fri Jan 23 00:29:45 2009

EliStartPage v17.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OLHRWEF.EXE.Muestra EliStartPage v17.85

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL --> Eliminado PWS-OnLineGames.Olhrwef

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\WINDOWS\system32\olhrwef.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jan 23 00:30:25 2009

EliStartPage v17.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\GY.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\X2CSVG.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\VE.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\WINDOWS\system32\AFMAIN2.DLL --> Eliminado, PWS-OnLineGames



Nº Total de Directorios: 6634

Nº Total de Ficheros: 79111

Nº de Ficheros Analizados: 20634

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

[lucl]

Pues a lo largo del dia de hoy te diran algo sobre el envio estate atento al post saludos

[msc hotline sat]

Y no te olvides , ademas, de lanzar un windowsupdate y actualizar los parches:



[b][i]No detectado SP3 de Windows XP[/i][/b]



Y con la muestra pedida, pasaremos a controlar el EXE de este ONLINE GAMES, a ver si hoy mismo podemos , ya informaremos



saludos



ms, 23-1-2009

[cacadperro]

Se me quedo el Expiorer.exe y el Ahnrpta.exe lo pude eliminar manualmente, ahora les cuento otro problema, mi ordenador tiene dos sesiones por que lo usamos dos diferentes personas, ahora les escribo desde la sesion de mi hermano, esta tiene un problema un tanto diferente, se desconfiguro de como la tenia, temas, protector de pantalla, programas de arranque.



Y ahora no me carga el messenger y casi ningun programa, esta casi inservible esta sesion, le lanze un scaneo con el elistara y me detecto un trojano que a continuacion les envio la muestra, y aqui les dejo el log que me dejo el elistara.



Sun Jan 25 14:38:41 2009

EliStartPage v17.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NMDFGDS0.DLL.Muestra EliStartPage v17.85

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL --> Eliminado

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jan 25 14:38:53 2009

EliStartPage v17.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6686

Nº Total de Ficheros: 80552

Nº de Ficheros Analizados: 20809

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Bueno veamos , el 23 se actualizo elistara con el control de la muestra que enviaste, lo pasaste?. Sobre la muestra enviada de la otra sesion que dices mañana se analizara, y tienes que instalar el sp3 , ya te lo hemos dicho varios asi que toma nota. De esta forma te entrara de todo en el pc al no estar protegido saludos

[msc hotline sat]

Sí, parece que



C:\WINDOWS\system32\nmdfgds0.dll

es un Trojan-Dropper.Win32.Agent.afdi que pasaremos a controlar cuando analicemos esta muestra que dices habernos enviado.



Y recuerda que siempre has de probar la ultima version de nuestras utilidades existente en el foro, ya que las actualizamos a diario.



saludos



ms, 26-1-2009

[msc hotline sat]

Pues ha resultado ser una variante del ONLINE GAMES, por lo que pasamos a implementar su control y eliminacion en el ELISTARA de hoy 17.87



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 26-1-2009

[cacadperro]

He escaneado con el elistara 17.87 y aca les dejo el log de lo que arrojo:



Mon Jan 26 11:50:08 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OLHRWEF.EXE.Muestra EliStartPage v17.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL --> Eliminado PWS-OnLineGames.Olhrwef

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\WINDOWS\system32\olhrwef.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=uvsqfgwd.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=uvsqfgwd.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Jan 26 11:52:50 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\W98.COM --> Eliminado, PWS-OnLineGames.Olhrwef

C:\WINDOWS\system32\NMDFGDS1.DLL --> Acceso Denegado, PWS-OnLineGames.Olhrwef (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\NMDFGDS1.DLL.VIR --> Acceso Denegado, PWS-OnLineGames.Olhrwef (Reiniciar para Completar la Limpieza)

C:\Muestras\OLHRWEF.EXE.MUESTRA ELISTARTPAGE V17.85 --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Muestras\NMDFGDS0.DLL.MUESTRA ELISTARTPAGE V17.85 --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 6661

Nº Total de Ficheros: 79609

Nº de Ficheros Analizados: 20654

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 3



Mon Jan 26 13:25:58 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=uvsqfgwd.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=uvsqfgwd.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Jan 26 13:26:12 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\NMDFGDS1.DLL.VIR.VIR --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 6660

Nº Total de Ficheros: 79640

Nº de Ficheros Analizados: 20647

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues se han eliminado ONLINE GAMES, pero hay otros malwares, quizas variantes de los mismos, que conviene controlar.



Para ello envienos estos ficheros para analizar:



Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

[b][i]open=uvsqfgwd.cmd[/i][/b]Si Desconoce la Aplicación, por favor envienosla

acompañada del [b][i]AUTORUN.INF[/i][/b]



Tras recibir estos dos ficheros los analizaremos e implementaremos su control y eliminacion, si procede en nuestras utilidades, de lo cual informaremos.



Aparte se detecta la falta de parches:

[b][i]No detectado SP3 de Windows XP[/i][/b]



Lanzar un windowsupdate e instalar el SP3 y demas críticos posteriores , como el MS08-067 y MS08-078



saludos



ms, 26-1-2009







y recordar:

[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



ms.

____

[cacadperro]

Apenas me di cuenta de algo, viendo los archivos ocultos encontre esto, creo que mas de la mitad son virus.

[img]http://img140.imageshack.us/img140/1945/sospechosofw4.jpg[/img]



Y aca les dejo seleccionados los que creo yo que son virus.

[img]http://img502.imageshack.us/img502/6313/sospechosobrj9.jpg[/img]

[msc hotline sat]

No postee imagenes, no se puede seleccionar su contenido.



Hagalo con un copiar y pegar



Y aparte de los ficheros que le hemos solicitado para analizar, si teme que tiene otros de infectados, lance este AV ONLINE y posteenos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 26-1-2009

[cacadperro]

El Archivo que se habia solicitado "uvsqfgwd.cmd", fue eliminado con el elistara de hoy.



Se me eliminaron 24 Virus, tengo la impresion de que vuelven a crearse por que siempre que le paso el elistara no falta archivo que se elimine.



Les dejo el log, y ya instale el service pack 3 jeje despues de tanto, pero ahora ya esta, bueno, aqui el log.



Tue Jan 27 17:33:24 2009

EliStartPage v17.88 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado PWS-OnLineGames.Olhrwef

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL --> Eliminado PWS-OnLineGames.Olhrwef

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 27 17:33:58 2009

EliStartPage v17.88 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\UVSQFGWD.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\WINDOWS\system32\NMDFGDS1.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Documents and Settings\paZtRy\Configuración local\Temp\HELP.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP9\A0000039.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP9\A0000041.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP9\A0000042.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP9\A0000047.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP9\A0000048.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0000192.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0000193.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003776.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003777.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003778.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003779.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003813.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003816.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003817.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003831.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003833.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003834.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003838.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003841.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Muestras\OLHRWEF.EXE.MUESTRA ELISTARTPAGE V17.87 --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 6589

Nº Total de Ficheros: 86912

Nº de Ficheros Analizados: 24040

Nº de Ficheros Infectados: 24

Nº de Ficheros Limpiados: 24 Tue Jan 27 17:33:24 2009

EliStartPage v17.88 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado PWS-OnLineGames.Olhrwef

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL --> Eliminado PWS-OnLineGames.Olhrwef

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 27 17:33:58 2009

EliStartPage v17.88 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\UVSQFGWD.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\WINDOWS\system32\NMDFGDS1.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Documents and Settings\paZtRy\Configuración local\Temp\HELP.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP9\A0000039.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP9\A0000041.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP9\A0000042.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP9\A0000047.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP9\A0000048.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0000192.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0000193.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003776.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003777.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003778.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003779.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003813.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003816.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003817.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003831.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003833.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003834.INF --> Eliminado, PWS-OnLineGames.Olhrwef(inf)

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003838.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

C:\System Volume Information\_restore{D7E1BD0A-814A-475D-937E-31294BF8D27C}\RP10\A0003841.DLL --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Muestras\OLHRWEF.EXE.MUESTRA ELISTARTPAGE V17.87 --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 6589

Nº Total de Ficheros: 86912

Nº de Ficheros Analizados: 24040

Nº de Ficheros Infectados: 24

Nº de Ficheros Limpiados: 24