Virus Win32/Keylogger.ardamax

[ynadre]

[size=200][color=#FF4000][color=#FF4000][size=150]Hola, muy buenas!! tengo un problema, y es que jugando al World of Warcraft, antes de comenzar me aparece una ventana en la que me dice que tengo el Virus Trojan "Win32/Keylogger.ardamax" y q si empiezo a jugar pueden causarse daños en mi Pc.



He probado varios antivirus y Spyware y ninguno me lo elimina, q puedo hacer? :|



Muxas gracias x adelantado :mrgreen: [/color][/color][/size]

[lucl]

Sabes donde tienes el fichero infectado? si es asi envianoslo para analizar siguiendo las instrucciones del link





https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos

[msc hotline sat]

Y como que ha habido varios Temas sobre este Ardamax, como el último:



https://foros.zonavirus.com/viewtopic.php?f=2&t=27331&hilit=ardamax



Podría ser que ya se controlara con el ELISTARA, probarlo:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 18-3-2009

[ynadre]

[size=150]Hola, en primer lugar, muxas gracias x vuestra ayuda.

Como no sé donde está oculto el virus, he descargado ELISTARA y he hecho el análisis. Este es el resultado:[/size]



Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 18 12:33:25 2009

EliStartPage v18.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\XP\Escritorio\Danyland\Juegos\ESDLA-BTM2\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\Documents and Settings\XP\Escritorio\Danyland\Programas\programas\[AIO] Nod32 (2008)\AutoPlay\Docs\Nod32 2.70_1.31 Win98\NOD32.FIX.V2.2-NSANE.EXE --> Eliminado, BitDownload(dr)



Nº Total de Directorios: 7228

Nº Total de Ficheros: 80251

Nº de Ficheros Analizados: 22941

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Wed Mar 18 12:40:11 2009

EliStartPage v18.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS\system32"



Nº Total de Directorios: 225

Nº Total de Ficheros: 4966

Nº de Ficheros Analizados: 3618

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues hemos eliminado lo que se ha detectado infectado, pero vemos que tenias virus que se propagaba por pendrive, asi que vacuna tu ordenador y pendrives con el ELIPEN:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Y prueba el ELISTARA con los pendrives que tengas, posiblemente infectados.



y, tras reiniciar, nos cuentas el resultado.



saludos



ms, 18-3-2009

[ynadre]

[size=150]Hola, ya he vacunado el Pc con ELIPEN y este es el resultado:[/size]



[color=#FF4000]Despues probé de nuevo el WOW pero sigue saliendo el mensaje de alerta x el virus.[/color]



Wed Mar 18 12:32:28 2009

EliStartPage v18.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 18 12:33:25 2009

EliStartPage v18.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\XP\Escritorio\Danyland\Juegos\ESDLA-BTM2\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\Documents and Settings\XP\Escritorio\Danyland\Programas\programas\[AIO] Nod32 (2008)\AutoPlay\Docs\Nod32 2.70_1.31 Win98\NOD32.FIX.V2.2-NSANE.EXE --> Eliminado, BitDownload(dr)



Nº Total de Directorios: 7228

Nº Total de Ficheros: 80251

Nº de Ficheros Analizados: 22941

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Wed Mar 18 12:40:11 2009

EliStartPage v18.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS\system32"



Nº Total de Directorios: 225

Nº Total de Ficheros: 4966

Nº de Ficheros Analizados: 3618

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Mar 18 19:41:08 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad F:\ Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Wed Mar 18 19:50:26 2009

EliStartPage v18.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 18 19:50:38 2009

EliStartPage v18.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Wed Mar 18 19:50:49 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Nº Total de Directorios: 7235

Nº Total de Ficheros: 80497

Nº de Ficheros Analizados: 22942

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Descargate el archivo que te indico y ejecutalo en el pc luego cuando te salga el cuadro le das a salir y vas a C y alli tendras un log de nombre sproclog que deberas copiarnos saludos





http://www.zonavirus.com/descargas/sproces.asp

[ynadre]

[color=#FF4000][size=150]Ya he ejecutado el Sproces y este es el resultado:[/size][/color]





Thu Mar 19 00:13:36 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: XP-CAF76CE7FECB

Nombre Usuario: XP



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_05\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\MOM.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SOUND BLASTER X-FI\VOLUME PANEL\VOLPANLU.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\PICASA2\PICASAMEDIADETECTOR.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\CCC.EXE

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\VIRUSFIGHTER\BIN\ZANDA.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQBAM08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQGPC01.EXE

C:\DOCUMENTS AND SETTINGS\XP\MIS DOCUMENTOS\MIS IMáGENES\MEGAUPLOAD\MEGA MANAGER\MEGAMANAGER.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER 8.5\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\XP\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL (file missing)

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll (file missing)

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\ARCHIV~1\MEGAUP~2\MEGAUP~1.DLL (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [RGSC] C:\Archivos de programa\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent

O4 - HKCU\..\Run: [EA Core] "C:\Archivos de programa\Electronic Arts\EADM\Core.exe" -silent

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [GEST] m’|\ü

O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [VolPanel] "C:\Archivos de programa\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r

O4 - HKLM\..\Run: [P17Helper] Rundll32 SPIRun.dll,RunDLLEntry

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [hpqSRMon] C:\Archivos de programa\HP\Digital Imaging\bin\hpqSRMon.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\bin\ZLH.EXE /LOAD /SPLASH

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Selección inteligente de HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys

O23 - Service: Eset Nod32 Boot (NOD32FiXTemDono) - Unknown owner - C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\nod32fixtemdono.reg (file missing)

O23 - Service: Norman ZANDA - Unknown owner - C:\VIRUSfighter\Bin\Zanda.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: 12a371bd-3c24-423d-b691-01003e308a99 - Unknown owner - E:\Player\cds300.dll (file missing)

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Creative SoundFont Management Device Driver (ctsfm2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\ctsfm2k.sys

O23 - Service: Creative SoundFont Synthesizer (CTUSFSYN) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctusfsyn.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: gdrv - Windows (R) 2000 DDK provider - C:\WINDOWS\gdrv.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ATI Function Driver for High Definition Audio Service (HdAudAddService) - ATI Research Inc. - C:\WINDOWS\SYSTEM32\drivers\AtiHdAud.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: MMRTKRNL - ALCATech GmbH - C:\WINDOWS\SYSTEM32\drivers\mmrtkrnl.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\bin\NJEEVES.EXE

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ctoss2k.sys

O23 - Service: Sound Blaster X-Fi Xtreme Audio (P17xfi) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\P17xfi.sys

O23 - Service: p17xfilt - Sensaura - C:\WINDOWS\SYSTEM32\drivers\p17xfilt.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Service for HDMI (RTHDMIAzAudService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtHDMI.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



41 Servicios.

12 de Carga Automatica.

28 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues elimina estas claves:



O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart



O4 - HKLM\..\Run: [GEST] m’|\ü

[ynadre]

[color=#FF4000]Los he borrado del archivo Sproclog y he guardado los cambios. Tengo que hacer algo más? Gracias[/color]

[msc hotline sat]

Del sproclog ??? !!! :?



De donde se han de eliminar es del registro de sistema !!!



Con el BuscaReg dale a buscar SPYBRO por una parte y luego m’|\ü por otra y elimina las claves que lo contengan:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]





saludos



ms, 19-03-2009

[ynadre]

[color=#FF4000]Ok, perdona mi torpeza, pero esq sé lo justo de ordenadores! He buscado los dos archivos en el BUSCAREG pero no sé como eliminarlos!

Q tengo q hacer?[/color]

[ynadre]

Ok, pinchando encima, vale q no lo he leido bien, q estoy empanao!!! Jajaja! [color=#FF4000][color=#FF4000][/color] :lol:

[ynadre]

[b]Ya he eliminado los archivos SPYBRO con el BUSCAREG, pero los archivos m’|\ü no me sale ninguno!

Queda algo más que hacer?

Porque en el Warcraft me sigue saliendo la ventana de alerta!

Saludos muchas gracias![/b]

[msc hotline sat]

Fichero no debe haberlo, solo la clave, pero si el BUSCAREG ni encuentra ninguna qie contenga dicha secuencia, dejalo estar, puede ser que el fichero del registro esté dañado, sin haber realmente ninguna clave con ello.



Pero de lo otro, ya te decia lucl al principio, que nos enviaras el fichero en cuestion parea analizar... HAZLO !


[quote="lucl"]
Sabes donde tienes el fichero infectado? si es asi envianoslo para analizar siguiendo las instrucciones del link





https://foros.zonavirus.com/viewtopic.php?f=5&t=14253[/quote]

o por lo menos sube dicho fichero al VirusTotal ( www.virustotal.com/es ) y posteanos el resultado, igual es un falso positivo de tu antivirus y lo veremos segun dicho informe.



saludos



ms, 19-3-2009

[ynadre]

[color=#FF4000]Hola, q tal? Sé que el archivo infectado está en la carpeta: System 32/28643 pero esta subcarpeta de system 32 debe estar oculta porque no la encuentro, por eso no he podido enviarosla! Gracias[/color]

[ynadre]

Hola, q tal? Sé que el archivo infectado está en la carpeta: System 32/28643 pero esta subcarpeta de system 32 debe estar oculta porque no la encuentro, por eso no he podido enviarosla! Gracias

[msc hotline sat]

Mire de COPIARLO a c:\muestras con el ELIMOVER, y marquje la casilla de la parte inferior izquierda indicando cambiar la extension al original, para que no incordie a partir del proximo reinicio:



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp





y desde allí nos lo podrá enviar facilmente



saludos



ms, 19-03-2009

[ynadre]

[color=#FF4000]Hola!

En el elimover he pueso system32/28463 q es el nombre de la carpeta donde está el virus, marcado la casilla pequeña de la izquierda y le he dado a copìar, ok? Ya esta no?

Gracias![/color]

[msc hotline sat]

No creo que asi encontraras nada...



se debe indicar ruta y nombre del fichero, que sabrás por la deteccion que decias al principio del Tema, no sé en qué fichero era, claro, por ejemplo en otro Ardanax el fichero de marras era:



KeyGen.exe



pero en tu caso, tu sabrás, donde te lo detectara el antivirus, claro.



saludos



ms, 19-3-2009

[ynadre]

[b]El antivirus me lo detecta en C:\\WINDOWS\\system32\\28463 pero al escribir esto en elELIMOVER me dice q "el fichero no existe" y al abrir la carpeta System 32 dentro no aparece la carpeta 28463 por que debe de estar oculta!

No se como averiguarlo.

Gracias[/b]

[lucl]

Pues elimover precisamente los encuentra igual aunque esten ocultos. Mira de fijarte bien por si algo de la ruta no estuviera bien escrito???? y nos comentas saludos

[msc hotline sat]

Sí, has de tener en cuenta dos cosas:



Debes indicar RUTA Y FICHERO EJECUTABLE y lo que indicas de 28463 o es una carpeta donde debe estar el fichero, o es un fichero sin extension, o te falta la extension del mismo...



Y por otra parte y MUY IMPORTANTE, sobran las dobles contrabarras, debes poner la ruta y fichero como accederías a él normalmente, esto es, C:\WINDOWS\SYSTEM32\28463 ... y lo que haga falta tras ello como indicamos antes.



saludos



ms, 20-3-2009

[msc hotline sat]

Buscando informacion sobre este keylogger, parece que lo del 28463 es una carpeta, y los ficheros ejecutables que crea en ella pueden ser :



AKV.exe

GOIH.exe

HEQY.exe



mira si indicando estas rutas\nombres en el ELIMOVER, los encuentras y nos los puedes enviar:



C:\WINDOWS\SYSTEM32\28463\AKV.exe





C:\WINDOWS\SYSTEM32\28463\GOIH.exe





C:\WINDOWS\SYSTEM32\28463\HEQY.exe



y desde luego, marca la casilla de cambiar la extension del original, para que tras reiniciar ya no se vuelvan a cargar.



saludos



ms, 20-3-2009

[ynadre]

[color=#FF4000]Hola de nuevo! He probado las 3 rutas en el ELIMOVER y he encontrado esta: C:\WINDOWS\SYSTEM32\28463\AKV.exe .

La he copiado y la he enviado con el "virus total". Este es el resultado:[/color]



Análisis del archivo AKV.exe recibido el 04.03.2009 12:47:17 (CET)

Estado actual: análisis terminado

Resultado: 19/39 (48.72%)

Compactar Compactar Imprimir resultados Imprimir resultados

Motor antivirus Versión Última actualización Resultado

a-squared 4.0.0.101 2009.03.04 Trojan.Generic!IK

AhnLab-V3 5.0.0.2 2009.02.27 -

AntiVir 7.9.0.98 2009.03.04 TR/Agent.468480.A

Authentium 5.1.0.4 2009.03.04 -

Avast 4.8.1335.0 2009.03.04 Win32:Spyware-gen

AVG 8.0.0.237 2009.03.04 Ardamax.AHQ

BitDefender 7.2 2009.03.04 Spyware.3141

CAT-QuickHeal 10.00 2009.03.04 -

ClamAV 0.94.1 2009.03.04 -

Comodo 1021 2009.03.03 Unclassified Malware

DrWeb 4.44.0.09170 2009.03.04 -

eSafe 7.0.17.0 2009.03.03 Win32.Banker

eTrust-Vet 31.6.6381 2009.03.03 -

F-Prot 4.4.4.56 2009.03.04 -

F-Secure 8.0.14470.0 2009.03.04 -

Fortinet 3.117.0.0 2009.03.04 -

GData 19 2009.03.04 Spyware.3141

Ikarus T3.1.1.45.0 2009.03.04 Trojan.Generic

K7AntiVirus 7.10.656 2009.03.03 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.03.04 -

McAfee 5542 2009.03.03 Keylog-Ardamax.dll

McAfee+Artemis 5542 2009.03.03 Keylog-Ardamax.dll

Microsoft 1.4405 2009.03.04 -

NOD32 3907 2009.03.04 a variant of Win32/KeyLogger.Ardamax

Norman 6.00.06 2009.03.03 -

nProtect 2009.1.8.0 2009.03.04 Trojan-Spy/W32.Agent.468480

Panda 10.0.0.10 2009.03.04 Generic Malware

PCTools 4.4.2.0 2009.03.04 Application.Ardamax_Keylogger

Prevx1 V2 2009.03.04 High Risk Worm

Rising 21.19.22.00 2009.03.04 -

SecureWeb-Gateway 6.7.6 2009.03.04 Trojan.Agent.468480.A

Sophos 4.39.0 2009.03.04 -

Sunbelt 3.2.1858.2 2009.03.02 -

Symantec 10 2009.03.04 Spyware.Ardakey

TheHacker 6.3.2.7.271 2009.03.03 -

TrendMicro 8.700.0.1004 2009.03.04 -

VBA32 3.12.10.1 2009.03.03 -

ViRobot 2009.3.4.1634 2009.03.04 -

VirusBuster 4.5.11.0 2009.03.03 -

Información adicional

File size: 468480 bytes

MD5...: 46ccfd974518e5849738449034a05a17

SHA1..: d391108816aed7ba8f7beb205ad7171c74eae6b2

SHA256: 571aae1f8a260909dbc45c67b4c547fc573c07097b36d4e18db0e36d91deccfe

SHA512: 773a40a37ebc54cbde7c40ca98001150e78da43726e475f1ee25ef869a39682c

0fcd46fb57cf6130151cd8115aa6f2c196e57414affe464fd3b137eb5b317a7a

ssdeep: 6144:y3CPF9R/a4bR55krSGKLFLtqWwxSnvAHc/0QR86ll8h/9VGC9HK:l/agR0r

SGKBLtPMEvAHL2lr

PEiD..: -

TrID..: File type identification

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x1f624

timedatestamp.....: 0x48947d96 (Sat Aug 02 15:30:30 2008)

machinetype.......: 0x14c (I386)



( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x4dd39 0x4de00 6.65 235a7e6ac84d1cee6d21af7408047e18

.rdata 0x4f000 0xd5f6 0xd600 5.85 804a4b9387b6a918491f8a74e21516dd

.data 0x5d000 0x74f8 0x5200 4.52 dd1ef440628eaa4ee545c2caff38f01e

.rsrc 0x65000 0x11a68 0x11c00 4.99 043826249238381bfa19a61eead4c41a



( 10 imports )

> SHLWAPI.dll: UrlUnescapeW, PathFindExtensionW, PathRemoveFileSpecW

> COMCTL32.dll: ImageList_Replace, ImageList_SetImageCount, ImageList_Destroy, InitCommonControlsEx, CreateStatusWindowW, ImageList_Draw, ImageList_AddMasked, ImageList_LoadImageW, ImageList_GetImageCount, ImageList_Create, ImageList_Add

> SHELL32.dll: SHGetPathFromIDListW, SHBrowseForFolderW, ShellExecuteW

> KERNEL32.dll: SetLastError, lstrcpynA, lstrlenA, MulDiv, GetCurrentProcessId, GetFileSize, FileTimeToLocalFileTime, CompareFileTime, WideCharToMultiByte, FindClose, WaitForSingleObject, GetFullPathNameW, FindFirstFileW, FindNextFileW, SetFilePointer, HeapFree, HeapAlloc, GetStartupInfoW, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, Sleep, HeapSize, ExitProcess, HeapCreate, HeapDestroy, VirtualFree, GetUserDefaultLangID, HeapReAlloc, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringW, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, LoadLibraryA, InitializeCriticalSectionAndSpinCount, RtlUnwind, GetConsoleCP, GetConsoleMode, GetLocaleInfoA, LCMapStringA, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetProcessHeap, InterlockedCompareExchange, IsProcessorFeaturePresent, SetEndOfFile, GetModuleHandleA, CreateFileW, CloseHandle, ReadFile, WriteFile, InterlockedIncrement, InterlockedDecrement, DeleteCriticalSection, InitializeCriticalSection, GetModuleFileNameW, GetModuleHandleW, LoadLibraryExW, MultiByteToWideChar, lstrcmpiW, lstrcpynW, LoadLibraryW, GetLastError, GetProcAddress, FreeLibrary, GetVersionExW, FindResourceExW, FindResourceW, LoadResource, LockResource, SizeofResource, lstrcpyW, CreateThread, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, FlushInstructionCache, GetCurrentProcess, GetTimeFormatW, GetDateFormatW, FileTimeToSystemTime, SystemTimeToFileTime, lstrcmpW, lstrlenW, RaiseException, VirtualAlloc, VirtualQuery

> USER32.dll: DestroyMenu, ModifyMenuW, SetMenu, CreateWindowExW, GetActiveWindow, GetWindowPlacement, IsWindow, DestroyWindow, CharNextW, SetWindowPlacement, DispatchMessageW, TranslateMessage, GetMessageW, PeekMessageW, LoadBitmapW, LoadStringW, IsMenu, GetMenuItemCount, GetDC, ReleaseDC, RegisterClassExW, GetClassInfoExW, DialogBoxParamW, EndDialog, LoadImageW, wvsprintfW, LoadStringA, PostQuitMessage, SetFocus, SetRectEmpty, IsWindowVisible, SetScrollInfo, DestroyCursor, LoadMenuW, LoadAcceleratorsW, SetRect, GetDlgCtrlID, DrawFocusRect, DrawTextW, OffsetRect, DrawFrameControl, GetMessagePos, WindowFromPoint, ScrollWindowEx, GetScrollInfo, SetScrollPos, MessageBeep, TrackPopupMenuEx, MonitorFromPoint, DrawEdge, GetWindowDC, SystemParametersInfoW, RemoveMenu, CreateDialogParamW, GetFocus, FrameRect, UnhookWindowsHookEx, CallNextHookEx, GetClassNameW, SetWindowsHookExW, CharLowerW, GetKeyState, RegisterWindowMessageW, GetSubMenu, GetWindowThreadProcessId, MoveWindow, MapVirtualKeyW, GetKeyNameTextW, UnregisterClassA, GetMenu, SetMenuDefaultItem, GetMenuItemInfoW, SetMenuItemInfoW, ShowWindow, BeginPaint, EndPaint, GetCapture, CopyRect, LoadCursorW, CreatePopupMenu, IsWindowEnabled, ScreenToClient, PtInRect, EnableMenuItem, AppendMenuW, TrackPopupMenu, BeginDeferWindowPos, DeferWindowPos, EndDeferWindowPos, InflateRect, GetSystemMetrics, InvalidateRect, UpdateWindow, ReleaseCapture, GetCursorPos, SetCapture, SetCursor, FillRect, CallWindowProcW, DefWindowProcW, EnableWindow, SendMessageW, PostMessageW, GetDlgItem, MessageBoxW, GetDlgItemTextW, GetWindow, MonitorFromWindow, GetMonitorInfoW, GetWindowRect, GetParent, GetClientRect, MapWindowPoints, SetWindowTextW, SetDlgItemTextW, DestroyCaret, GetSysColor, SetWindowPos, SetWindowLongW, GetWindowLongW, GetSysColorBrush, GetWindowTextW

> GDI32.dll: PatBlt, CreatePen, CreateFontIndirectW, SetBkMode, CreateCompatibleBitmap, BitBlt, CreateDIBitmap, CreateBitmap, GetTextExtentPoint32W, CreatePatternBrush, SetViewportOrgEx, SelectObject, CreateCompatibleDC, LineTo, CreateDIBSection, MoveToEx, DeleteDC, DeleteObject, SetBrushOrgEx, SetBkColor, CreateFontW, GetStockObject, GetObjectW, SetTextColor

> COMDLG32.dll: GetOpenFileNameW, GetSaveFileNameW

> ADVAPI32.dll: RegCreateKeyExW, RegSetValueExW, RegOpenKeyExW, RegEnumKeyExW, RegQueryInfoKeyW, RegCloseKey, RegDeleteKeyW, RegDeleteValueW

> ole32.dll: CoInitialize, CoCreateInstance, CoTaskMemAlloc, CoTaskMemRealloc, CoTaskMemFree, CoUninitialize

> OLEAUT32.dll: -



( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=46ccfd974518e5849738449034a05a17

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=3B308A41009B14C4261C073C414CB80069189B60

CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=46ccfd974518e5849738449034a05a17

[msc hotline sat]

Pues ya ves como apuntabamos bien... :?:



Y si has marcado la casilla de cambiar su extension a .vIR, a partir del próximo reinicio ya no se cargará en memoria



y envianos dicho fichero para analizar y controlar, gracias





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-3-2009

______

[ynadre]

[color=#FF4000]Hola, ya he comprimido el achivo en ZIP y os lo he enviado como muestra. Muchas gracias[/color]

[msc hotline sat]

Pues el lunes, cuando volvamos al trabajo en SATINFO, lo analizaremos e informaremos



Mientras, si ya tiene extension .VIR, espero que ya no incordie...



Y vigila, que ya has visto que se trata de un keylogger del tipo Banker, asi que si este ordenador lo has usado para transferencias bancarias, consultas de cuentas o cualquier otra cosa relacionado con bancos, cuidado ! pueden saber tus contraseñas y usarlas para transferir fondos fraudulentamente .... Si es el caso, habla con tu banco, cambia numero de cuentas y passwords, aunque te suponga un transtorno, o haz caso a lo que te digan ellos, expondiendoles el caso.



Aparte ten presente la pérdida de confidencialidad de lo que hubiera "delicado" en tu ordenador, claro ...



saludos



ms, 21-3-2009

Ref SP/CO+37.9-4.8

[msc hotline sat]

Efectivamente, es el keylogger con todas sus prestaciones...



Pasamos a implementar el control y eliminacion de la muestra recibida , en la version de hoy del ELISTARA 18.27




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





SALUDOS



MS, 23-3-2009

[ynadre]

[color=#FF4000]Hola, ya he utilizado el ELISTARA y este es el resultado:[/color]



(23-3-2009 19:37:42)

EliStartPage v18.27 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-3-2009 19:37:50)

EliStartPage v18.27 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7199

Nº Total de Ficheros: 80600

Nº de Ficheros Analizados: 23031

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



[color=#FF4000]Un saludo, gracias.[/color]