Spywares y conexion a internet lentisima.

[anad]

Hola a todos.



Mi problema es el siguiente:



Ayer por la noche estaba en un juego online, y de un segundo a otro mi ping usual de 20-30 se incremento increiblemente hasta 900 y 1k. Tengo 622 kbps, y me bajaron a los 30-60 :shock: . Luego paso a cerrar el juego, y abrir inmediatamente el Spybot. Al rato se me reinicia la maquina sola. Intento entrar en modo seguro, pero la pc no respondia. Reinicio nuevamente dandole al f8, y la blue screen of death aparece en mi monitor. Mi ultima opcion fue intentar iniciar sesion normalmente, y por suerte tuve exito. Scaneo nuevamente con el spybot y me aparecio lo siguiente:



Microsoft.Windows.disableSystemRestore

Zlob.Downloader

Microsoft.Windows.Security.InternetExplorer

Microsoft.WindowsSecurityCenter.FirewallOverride

Microsoft.WindowsSecurityCenter_disabled

Win32.Delf.uc

Win32.Injecter.adv

Win32.Joleee.k



(Pase tambien el CCleaner, y el Superantispyware)



Este es el registro de SUPERantispyware:



SUPERAntiSpyware Scan Log

http://www.superantispyware.com



Generated 02/04/2009 at 04:20 PM



Application Version : 4.25.1012



Core Rules Database Version : 3743

Trace Rules Database Version: 1711



Scan type : Quick Scan

Total Scan Time : 00:10:50



Memory items scanned : 400

Memory threats detected : 0

Registry items scanned : 453

Registry threats detected : 24

File items scanned : 8155

File threats detected : 40



Trojan.Dropper/SysMgr

[Microsoft(R) System Manager] C:\WINDOWS\SYSTEM32\SYSMGR.EXE

C:\WINDOWS\SYSTEM32\SYSMGR.EXE

[sysmgr] C:\WINDOWS\SYSTEM32\SYSMGR.EXE

C:\WINDOWS\Prefetch\SYSMGR.EXE-25B0C94A.pf



Trojan.Unknown Origin

[ntpmwkqy.exe] C:\WINDOWS\NTPMWKQY.EXE

C:\WINDOWS\NTPMWKQY.EXE

[fptinuna.exe] C:\WINDOWS\FPTINUNA.EXE

C:\WINDOWS\FPTINUNA.EXE

[tjzlenvc.exe] C:\WINDOWS\TJZLENVC.EXE

C:\WINDOWS\TJZLENVC.EXE

[jdgwijxq.exe] C:\WINDOWS\JDGWIJXQ.EXE

C:\WINDOWS\JDGWIJXQ.EXE

[hdebhuvr.exe] C:\WINDOWS\HDEBHUVR.EXE

C:\WINDOWS\HDEBHUVR.EXE

[ntpmwkqy.exe] C:\WINDOWS\NTPMWKQY.EXE

[fptinuna.exe] C:\WINDOWS\FPTINUNA.EXE

[tjzlenvc.exe] C:\WINDOWS\TJZLENVC.EXE

[jdgwijxq.exe] C:\WINDOWS\JDGWIJXQ.EXE

[hdebhuvr.exe] C:\WINDOWS\HDEBHUVR.EXE

HKLM\System\ControlSet001\Services\uskngsxg

C:\WINDOWS\SYSTEM32\DRIVERS\USKNGSXG.SYS

HKLM\System\ControlSet001\Enum\Root\LEGACY_uskngsxg

HKLM\System\ControlSet002\Services\uskngsxg

HKLM\System\ControlSet002\Enum\Root\LEGACY_uskngsxg

HKLM\System\CurrentControlSet\Services\uskngsxg

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_uskngsxg



Rootkit.Dopper/ETH

HKLM\System\ControlSet001\Services\ethijhvq

C:\WINDOWS\SYSTEM32\DRIVERS\ETHIJHVQ.SYS

HKLM\System\ControlSet001\Enum\Root\LEGACY_ethijhvq

HKLM\System\ControlSet002\Services\ethijhvq

HKLM\System\ControlSet002\Enum\Root\LEGACY_ethijhvq

HKLM\System\CurrentControlSet\Services\ethijhvq

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_ethijhvq



Adware.Tracking Cookie

C:\Documents and Settings\Administrador\Cookies\administrador@atwola[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@tribalfusion[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@sexyono[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@2o7[1].txt

C:\Documents and Settings\Administrador\Cookies\system@msnaccountservices.112.2o7[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ads.e-planning[2].txt

C:\Documents and Settings\Administrador\Cookies\administrador@track.3dgames.com[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@oas.directaclick[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@server.cpmstar[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ice.112.2o7[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ads.adbrite[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@maxis.112.2o7[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@adlegend[2].txt

C:\Documents and Settings\Administrador\Cookies\administrador@msnportal.112.2o7[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ads.3dgames.com[2].txt

C:\Documents and Settings\Administrador\Cookies\administrador@bs.serving-sys[2].txt

C:\Documents and Settings\Administrador\Cookies\administrador@adbrite[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ubbi.sexyono[2].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ds.clickexperts[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@ads.us.e-planning[1].txt

C:\Documents and Settings\Administrador\Cookies\administrador@serving-sys[1].txt



Trojan.Agent/Gen-FakeAlert

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\TEMP\B155.TMP

C:\WINDOWS\TEMP\640E.TMP

C:\WINDOWS\TEMP\C272.TMP

C:\WINDOWS\TEMP\D8E3.TMP

C:\WINDOWS\TEMP\F35A.TMP



Trojan.Unclassified/Loader-Suspicious

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\G\1.09\LOADER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\G\1.09\PLUGIN\LOADER.EXE



Trojan.Agent/Gen-FSG

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\G\1.09\PLUGIN\KEYMAN.EXE



Adware.SeekSuggest

C:\WINDOWS\JESTERTB.DLL



Trojan.Downloader-Gen

C:\WINDOWS\SYSTEM32\CSRCS.EXE



He eliminado todo, pero el problema con el modo seguro y la conexion lentisima a internet persiste. Tambien aclaro que el rendimiento de mi pc ha disminuido notablemente.



Ayuda por favor!



Muchas gracias.

[julibaga]

Descárgate Elistara

http://www.zonavirus.com/descargas/elistara.asp

y Elitriip

http://www.zonavirus.com/descargas/elitriip.asp

Los ejecutas de uno en uno y cuando terminen abres el archivo c:\infosat.txt, copias todo el log y lo pegas en tu siguiente post para ver los resultados.

Te bajas también el Elinotif.dll del siguiente link y lo guardas en la misma carpeta que los otros dos. Este no se ejecuta, pero hace falta si te pide reiniciar para eliminar alguno que estuviese en ejecución y no pudiera eliminarlo.

http://www.zonavirus.com/descargas/elinotif.asp



Y nos comentas si sigues con el problema.

[anad]

Hola y gracias por tu respuesta Julibaga.





Me baje los programas pero los 2 me dicen "archivo modificado, posiblemente por un virus. Contacte con SATINFO".



Tampoco puedo abrir el archivo c:\infosat.txt.







:/

[julibaga]

Renombra los archivos que dicen que están modificados, añadiéndole la extensión .VIR y envíalos como se indica en el siguiente link

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Reinicia la máquina en Modo a Prueba de Fallos con Opciones de Red (a ver si después de limpiar lo que limpiaste, te deja) y vuelve a bajarlos y los vuelves a ejecutar.

Probablemente se infectaron y con ese envío podrán analizar qué los infectó.



A ver si en Modo a Prueba de Fallos con Opciones de Red no te da problemas y nos informas. A parte de pegar el log de c:\infosat.txt



Gracias

[msc hotline sat]

Probablemente tiene, ademas de los troyanos que encuentre el ELISTARA, un virus infector que le está infectando todos los EXE, lo que pasa es que nuestras utilidades tienen un autochecksum que detecta si han sido modificadas y avisa, lo cual no lo tienen la inmensa mayoria de ficheros.



Lance este AV ONLINE y nos dirá lo que detecta en su ordenador, virus, troyanos y demas, para poder obrar en consecuencia:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludpos



ms, 5-2-2009

[anad]

Gracias por las respuestas, aqui dejo el log de un reporte del programa Malwarebytes:



Malwarebytes' Anti-Malware 1.33

Versión de la Base de Datos: 1728

Windows 5.1.2600 Service Pack 2



05/02/2009 16:38:59

mbam-log-2009-02-05 (16-38-56).txt



Tipo de examen : Examen Rápido

Objetos examinados: 48269

Tiempo transcurrido: 4 minute(s), 16 second(s)



Procesos en Memoria Infectados: 1

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 3

Valores del Registro Infectados: 11

Elementos de Datos del Registro Infectados: 2

Carpetas Infectadas: 0

Ficheros Infectados: 17



Procesos en Memoria Infectados:

C:\WINDOWS\services.exe (Backdoor.ProRat) -> No action taken.



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ssiztcww (Rootkit.Pakes) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ssiztcww (Rootkit.Pakes) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssiztcww (Rootkit.Pakes) -> No action taken.



Valores del Registro Infectados:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bndotakj.exe (Trojan.Downloader) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Backdoor.ProRat) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Backdoor.ProRat) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Backdoor.ProRat) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Backdoor.ProRat) -> No action taken.



Elementos de Datos del Registro Infectados:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

C:\WINDOWS\bndotakj.exe (Trojan.Downloader) -> No action taken.

C:\WINDOWS\system32\drivers\ssiztcww.sys (Rootkit.Pakes) -> No action taken.

C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\7.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\8.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\9.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\A.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\B.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\C.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\D.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\E.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\F.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\services.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\Drivers\ndisio.sys (Backdoor.Bot) -> No action taken.

C:\WINDOWS\system32\msvcrt2.dll (Trojan.Agent) -> No action taken.

[msc hotline sat]

Pues ya que usaste este MalwareBytes, mira lo que te dice:



Malwarebytes' Anti-Malware 1.33

Versión de la Base de Datos: 1728

Windows 5.1.2600 Service Pack 2



Por tanto te faltan parches !!!



Lanza un windowsuopdate e instala el SP3 y posteriores críticos, especialmente el MS08-067 para evitar el conficker...



Aparte, envianos para analizar:





C:\WINDOWS\bndotakj.exe

C:\WINDOWS\system32\drivers\ssiztcww.sys

C:\WINDOWS\system32\4.tmp

C:\WINDOWS\system32\5.tmp

C:\WINDOWS\system32\6.tmp

C:\WINDOWS\system32\7.tmp

C:\WINDOWS\system32\8.tmp

C:\WINDOWS\system32\9.tmp

C:\WINDOWS\system32\A.tmp

C:\WINDOWS\system32\B.tmp

C:\WINDOWS\system32\C.tmp

C:\WINDOWS\system32\D.tmp

C:\WINDOWS\system32\E.tmp

C:\WINDOWS\system32\F.tmp

C:\WINDOWS\services.exe

C:\WINDOWS\system32\Drivers\ndisio.sys

C:\WINDOWS\system32\msvcrt2.dll





Si no encuentras alguno, buscalo arrancandon en modo seguro (ya que hay rootkits) y ocultos: https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



luego:





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 6-2-2009