Otro de MSN (SOLUCIONADO)

[duclos]

Veamos, yo tamb tengo un virus en el msn. Pero se como ha entrado. Un amigo me paso un link (Luego supimos que el no habia mandado nada, se manda el virus solito). El link cambia de vez en cuando, es este [code]http://<interceptado>[/code]

[quote]
[url=http://www.satinfo.es]/zonavirus/zona.jpg[/img][/url]



No vuelvas a postears links y menos a webs infectadas !!!



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044[/quote]
nada mas entrar el antivirus empezo a bloquear intentos de creacion de archivos bat en la carpeta tem, en configuracion local.

Bloquee la creaccion de los archivos un poco a lo cafre. Cree carpetas que se llamaban igual que los archivos que el virus creaba, y eso parece que lo paro. Sin embargo ahora soy yo el que mando los dichosos links por msn.

Mi amigo, el que me lo paso inicialmente formateo el ordenador, pero sigue tambien mandandome links. Que puedo hacer?

[julibaga]

Pues como te comentaba, bájate las siguientes utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas se quedaron solucionados los problemas.

Y para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[msc hotline sat]

No, no lo va a detectar, pues es muy nuevo:


[quote="VirusTotal"]



File Adobe.Flash-Install.exe received on 03.24.2009 06:15:43 (CET)

Current status: finished



Result: 7/39 (17.95%)

Compact Print results

Antivirus Version Last Update Result

a-squared - - Riskware.Win32.VBInject!IK

AhnLab-V3 - - -

AntiVir - - BDS/Inject.JA

Authentium - - -

Avast - - -

AVG - - -

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - Virtool.VB-4

Comodo - - -

DrWeb - - -

eSafe - - -

eTrust-Vet - - -

F-Prot - - -

F-Secure - - -

Fortinet - - -

GData - - -

Ikarus - - VirTool.Win32.VBInject

K7AntiVirus - - -

Kaspersky - - -

McAfee - - -

McAfee+Artemis - - Generic!Artemis

McAfee-GW-Edition - - Trojan.Backdoor.Inject.JA

Microsoft - - -

NOD32 - - -

Norman - - -

nProtect - - -

Panda - - -

PCTools - - -

Prevx1 - - High Risk Cloaked Malware

Rising - - -

Sophos - - -

Sunbelt - - -

Symantec - - -

TheHacker - - -

TrendMicro - - -

VBA32 - - -

ViRobot - - -

VirusBuster - - -

Additional information

MD5: 390d33386ec45aa4d33501ba13984669

SHA1: 99bde6f3d5aa566b1edd846450d8ad33f5395174 [/quote]

Aun ni Symantec ni NOD32 ni Kaspersky lo detectan



Solo McAfee , de los 4 "mejores" , lo "pilla" :mrgreen:       http://www.zonavirus.com/noticias/2009/comparativa-independiente-sobre-17-antivirus-actuales.asp



Y de momento lo podremos copiar a C:\MUESTRAS y aparcar, con el ELIMD5, dandole a buscar el MD5 o SHA1 (da igual) cirrespondiente :



MD5: 390d33386ec45aa4d33501ba13984669

SHA1: 99bde6f3d5aa566b1edd846450d8ad33f5395174


[quote]


DESCARGA DEL ELIMD5:

http://www.zonavirus.com/descargas/elimd5.asp
[/quote]
y mañana ya lo monitorizaremos e implementaremos en la utilidad correspondiente, posiblemente en el ELITRIIP ya que es un Backdoor, de lo cual informaremos.



[b][i]Inicialmente indiqué en lugar del ELIMD5 el ELIMOVER, está claro que para insertar la cadena del MD5 es el ELIMD5, claro ! (Ya lo he rectificado adecuadamente)[/i][/b]



Y tras reiniciar, cuentenos el resultado, gracias



saludos



ms, 24-3-2009

[duclos]

Bueno ahora reviso la respuesta que habeis dado mientras pasaba las utilidades. Las he ejecutado de una en una y en el orden del post.

El primero (Elistara) descubrio un troyano al borrar el contenido temporal, y posteriormente un archivo infectado durante el analisis. El Elitrip bloqueo un intento de intrusion desde el exterior. Este es el log:


[code]
(24-3-2009 18:09:57)
EliStartPage v18.28 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Marzo del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado
Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

(24-3-2009 18:17:27)
EliStartPage v18.28 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Marzo del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\WINDOWS\system32\NMDFGDS0_DLL.VIR --> Eliminado, PWS-OnLineGames.Olhrwef

Nº Total de Directorios: 7582
Nº Total de Ficheros: 115279
Nº de Ficheros Analizados: 33331
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

(24-3-2009 18:39:37)
EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):

(24-3-2009 18:39:41)
EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 7580
Nº Total de Ficheros: 115284
Nº de Ficheros Analizados: 31309
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[/code]

Despues inicie el Sprocess, el log es este:


[code]Tue Mar 24 19:54:53 2009
SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Internet Explorer: (v7.0.5730.13) 0
Nombre Equipo: RUBEN
Nombre Usuario: Krotek

Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS + FIREWALL 2007\PSCTRLS.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS + FIREWALL 2007\PAVFNSVR.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\PANDA SOFTWARE\PAVSHLD\PAVPRSRV.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS + FIREWALL 2007\PAVSRV51.EXE
C:\WINDOWS\SYSTEM32\PNKBSTRA.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS + FIREWALL 2007\FIREWALL\PSHOST.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS + FIREWALL 2007\PSIMSVC.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS + FIREWALL 2007\AVENGINE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS + FIREWALL 2007\TPSRV.EXE
C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\NEWS\NEWSUPD.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\CORE\SMAX4PNP.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DAEMON.EXE
C:\ARCHIV~1\MICROS~4\RAPIMGR.EXE
C:\ARCHIVOS DE PROGRAMA\HAMACHI\HAMACHI.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\USNSVC.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS + FIREWALL 2007\WEBPROXY.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT ACTIVESYNC\WCESMGR.EXE
C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS MEDIA PLAYER\WMPLAYER.EXE
C:\DOCUMENTS AND SETTINGS\KROTEK\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: FGCatchUrl - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Archivos de programa\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Archivos de programa\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Run: [NewsUpd] C:\Archivos de programa\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - Startup: desktop.ini
O4 - Startup: hamachi.lnk
O4 - Global Startup: desktop.ini
O4 - Global Startup: Microsoft Office.lnk
O4 - Global Startup: Windows Search.lnk
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Download with Rapget - C:\Documents and Settings\Krotek\Escritorio\Descargas\rapget\rapget.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab Class) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1235079472906
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235079451687
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15106/CTPID.cab
O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O20 - Winlogon Notify: AVLDR - AVLDR.DLL
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:
----------------------
ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Panda CPoint Driver (cpoint) - Panda Software - C:\WINDOWS\SYSTEM32\Drivers\cpoint.sys
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.EXE
O23 - Service: pavdrv (PAVDRV) - Panda Software International - C:\WINDOWS\SYSTEM32\DRIVERS\pavdrv51.sys
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Driver (PavProc) - Panda Software International - C:\WINDOWS\System32\DRIVERS\PavProc.sys
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
O23 - Service: PfModNT - Creative Technology Ltd. - C:\WINDOWS\System32\PfModNT.sys
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
O23 - Service: NTPort Library Driver (zntport) - Unknown owner - C:\WINDOWS\System32\zntport.sys (file missing)

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys
O23 - Service: AEAudio Service (AEAudioService) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys
O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Creative AudioPCI (ES1371,ES1373) (WDM) (es1371) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\es1371mp.sys
O23 - Service: gdrv - Windows (R) 2000 DDK provider - C:\WINDOWS\gdrv.sys
O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys
O23 - Service: PANDA NDIS IM Filter Miniport (NETIMFLT) - Panda Software - C:\WINDOWS\SYSTEM32\DRIVERS\netimflt.sys
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: PavSRK.sys - Unknown owner - C:\WINDOWS\System32\PavSRK.sys (file missing)
O23 - Service: PavTPK.sys - Unknown owner - C:\WINDOWS\System32\PavTPK.sys (file missing)
O23 - Service: PciCon - Unknown owner - D:\PciCon.sys (file missing)
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys
O23 - Service: Controlador de sonido SB AudioPCI (WDM) (sbpci) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\sbpci.sys
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: SenFilt Service (SenFiltService) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\Senfilt.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

41 Servicios.
19 de Carga Automatica.
21 de Carga Manual.
1 Deshabilitados.
[/code]

A ver que podeis decierme de esto, porque yo no entiendo ni papa XD.



Gracias por adelantado.

[duclos]

Por curiosidad, como hago para localizar el fichero que tengo que poner en muestras?

[julibaga]

Te bajas el [url=http://www.zonavirus.com/descargas/elimd5.asp]EliMD5[/url] como te decía [color=#800000]msc hotline sat[/color] y le pones esta cadena para que te la busque:



390d33386ec45aa4d33501ba13984669


[quote="msc"]No te preocupes por la muestra, ya la descargamos con el link que fue interceptado, y he cambiado el link y la utilidad por no ser el ELIMOVER sino el ELIMD5 donde se debe poner la cadena del MD5 a buscar, claro. ms.[/quote]

En cuanto al log del Sprocess, espera que [color=#800000]msc hotline sat[/color] te dé indicaciones.

[duclos]

No es capaz de encontrar la cadena, dice que el archivo no existe. He probado con los dos.

[lucl]

Que raro... puedes intentarlo de nuevo? supongo que copias las cadenas que te puso msc no? Otra cosa tienes este archivo que se supone que es del vista ????



C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE





Si no tienes nada del vista mira de subirlo a analizar a virustotal por si acaso.





www.virustotal.com/es





No tiene porque ser virico pero pruebalo y a ver mañana que te dice Msc de lo demas saludos

[duclos]

Creo que es de un parche de windows. Me sale un buscador en la barra de inicio que se supone que busca en tu pc y en internet ¿Puede ser eso que dices?

[duclos]

Me sale esto al subir ese archivo:



https://www.virustotal.com/es//analisis/0902efe93fe6c1458c61bf16fcec9a3b



Pero ahora si que no entiendo nada de nada.

[duclos]

Como las utilidades que me habeis recomendado me limpiaron la carpeta temp, han quitado mi "Proteccion cafre" xD. Ahora el panda me dice que el virus encontrado se llama killapp.t. No se si servira de algo, pero ahi lo dejo.



Ademas como la carpeta esta vacia ahora practicamente me he fijado que se ha creado un archivo que se llama 787.exe, que tiene como icono una impresora. Me ha llamado la atencion porque no la he encendido desde hace al menos dos meses.



A parte de eso los archivos bat que intenta crear se llaman dvkdnfs.bat y hsdjhsdw.bat respectivamente.



Lo dicho no se si servira de algo, pero ahi lo dejo.

[msc hotline sat]

Bueno, el que tiene boca se equivoca ... :oops:



Ayer escribí ELIMOVER cuando quería decir ELIMD5 para la inserción de la cadena del MD5, claro... , por esto no encontraba el fichero... , ya lo he rectificado en todos los post donde ello aparecía. SORRY !



ELIMD5

http://www.zonavirus.com/descargas/elimd5.asp



Prueba de entrar la cadena del MD5 a la utilidad en cuestion, y espero que detectes y saques el nuevo troyano al descubierto . Aparte hoy implementaremos su control por cadenas en la nueva version del ELITRIIP que haremos al efecto, de lo cual informaremos.



Por otro lado, este SearchIndexer.exe parece que no es exclusivamente del VISTA:


[quote]Description: SearchIndexer.exe is located in the folder C:\Windows\System32. Known file sizes on Windows XP are 300,032 bytes (39% of all occurrence), 287,744 bytes, 439,808 bytes, 214,528 bytes, 302,080 bytes, 278,016 bytes.

The program is not visible. File SearchIndexer.exe is a Microsoft signed file. The file is not a Windows system file. Therefore the technical security rating is 12% dangerous, however also read the users reviews.
[/quote][url=http://www.file.net/process/searchindexer.exe.html]Fuente[/url]



yo lo tengo en la carpeta de sistema de mi XP con un tamaño de 439.808 bytes... así que NO HAY QUE CREER TODO LO QUE SE LEE EN INTERNET ... ( http://www.processlibrary.com/es/directory/files/searchindexer/ )



Y lo que detecta el VirusTotal me imagino que es un falso positivo del McAfee-GW-Edition cuya heuristica detecta un Win32.LooksLike.Virut que no viene al caso, pues el mio mide lo mismo y tiene igual MD5, y con otro escaneador "total" no detecta nada raro:




[quote]Scanned time : 2009/03/25 06:15:46 (CET)

Scanner results: Ningún Escaner ha encontrado infecciones

File Name : searchindexer.exe

File Size : 439808 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : 7778bdfa3f6f6fba0e75b9594098f737

SHA1 : ed3a478772bddf65d413479f61812d981fefb655

Online report :



Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 4.0.0.32 20090324160349 2009-03-24 40.13 -

AhnLab V3 2009.03.25.02 2009.03.25 2009-03-25 43.13 -

AntiVir 7.9.0.126 7.1.2.211 2009-03-24 1.95 -

Antiy 2.0.18 20090324.2226308 2009-03-24 0.12 -

Authentium 5.1.1 200903241943 2009-03-24 2.07 -

AVAST! 3.0.1 090324-0 2009-03-24 0.03 -

AVG 7.5.52.442 270.11.25/2019 2009-03-23 1.99 -

BitDefender 7.81008.2815485 7.24402 2009-03-25 2.66 -

CA (VET) 9.0.0.143 31.6.6415 2009-03-25 43.13 -

ClamAV 0.94.2 9164 2009-03-25 0.10 -

Comodo 3.8 1083 2009-03-24 40.13 -

CP Secure 1.1.0.715 2009.03.25 2009-03-25 7.69 -

Dr.Web 4.44.0.9170 2009.03.25 2009-03-25 4.50 -

F-Prot 4.4.4.56 20090324 2009-03-24 1.99 -

F-Secure 5.51.6100 2009.03.24.08 2009-03-24 0.06 -

Fortinet 2.81-3.117 10.199 2009-03-24 40.13 -

GData 19.4210/19.274 20090325 2009-03-25 43.13 -

ViRobot 20090324 2009.03.24 2009-03-24 40.13 -

Ikarus T3.1.01.48 2009.03.24.72470 2009-03-24 2.95 -

JiangMin 11.0.706 2009.03.24 2009-03-24 43.13 -

Kaspersky 5.5.10 2009.03.24 2009-03-24 0.05 -

KingSoft 2009.2.5.15 2009.3.24.20 2009-03-24 43.13 -

McAfee 5.3.00 5563 2009-03-24 2.87 -

Microsoft 1.4502 2009.03.25 2009-03-25 40.13 -

mks_vir 2.01 2009.03.23 2009-03-23 2.75 -

Norman 6.00.06 6.00.00 2009-03-24 8.01 -

Panda 9.05.01 2009.03.24 2009-03-24 40.13 -

Trend Micro 8.700-1004 5.918.04 2009-03-24 0.03 -

Quick Heal 10.00 2009.03.25 2009-03-25 43.13 -

Rising 20.0 21.22.20.00 2009-03-25 40.13 -

Sophos 2.84.1 4.39 2009-03-25 2.16 -

Sunbelt 5058 5058 2009-03-24 40.13 -

Symantec 1.3.0.24 20090324.003 2009-03-24 8.71 -

nProtect 20090324.01 3378534 2009-03-24 40.13 -

The Hacker 6.3.3.4 v00289 2009-03-24 43.13 -

VBA32 3.12.10.1 20090324.1307 2009-03-24 1.76 -

VirusBuster 4.5.11.10 10.102.21/1051238 2009-03-24 1.41 -[/quote]

Así que, prueba el ELIMD5, con el MD5 correspondiente al falso [b][i]"Adobe.Flash-Install.exe"[/i][/b], o sea [b][i]390d33386ec45aa4d33501ba13984669[/i][/b] y espero que encuentre el fichero troyano de marras y lo saque de circulación, luego con el ELITRIIP ya remataremos.





saludos



ms, 25-3-2009







NOTA y estos ficheros que dices:


[quote]me he fijado que se ha creado un archivo que se llama 787.exe, que tiene como icono una impresora. Me ha llamado la atencion porque no la he encendido desde hace al menos dos meses.



A parte de eso los archivos bat que intenta crear se llaman dvkdnfs.bat y hsdjhsdw.bat respectivamente.[/quote]

Subelos al http://www.virustotal.com y si detectan malwares, postanos el informe y obraremos en consecuencia. ms.

[msc hotline sat]

Pues no va a ser en el ELITRIIP como hubiera sido normal de tratarse de un backdoor, sino en el ELISTARA 18.29 de hoy, ya que al monitorizarlo hemos visto que se trata de una muestra, corregida y aumentada, de un Palevo ya controlado por dicha utilidad:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 25-3-2009











NOTA: No sé si en su caso, si ya ha ejecutado el ELIMD5 y lo ha sacado de circulacion, se resistirá tanto, pero en nuestras pruebas hemos visto que se regeneraba la clave y tenemos que irlo matando paso a paso, en la exploracion del ELISTARA de cada reinicio, y al reiniciar la primera vez, lanzará automáticamente el ELISTARA, tras cuya exploración dará un error del EXPLORER, con lo que nos quedaremos sin escritorio, por lo que habremos de reiniciar con un CTRL_ALT_SUP y en el siguiente reinicio la exploracion ya podrá eliminar el fichero, pero al ser variable la carpeta que crea dentro de RECYCLER, no podemos eliminarlo en acción directa, sino por exploración en cada paso, aunque con ello se tarde mas.



Sea como fuera, al final lo logramos, pero gradualmente, ... cada vez son mas sofisticados y cuestan mas ! ms.

[duclos]

A ver he pasado el ELIMD5 usando la cadena 390d33386ec45aa4d33501ba13984669. Ha encontrado un archivo llamado GLPS.exe, pero no lo ha eliminado.



Este es el log que ha creado:


[code]
(24-3-2009 23:13:04)
EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Mar 25 08:15:07 2009
EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Por favor, Envienos Muestra para Analizar.
C:\Muestras\GLPS.EXE.(390D33386EC45AA4D33501BA13984669).vir
C:\RECYCLER\S-1-5-21-2721783656-4893433482-661572052-1617\GLPS.EXE --> Acceso Denegado (Hash: 390D33386EC45AA4D33501BA13984669).

Nº Total de Directorios: 7588
Nº Total de Ficheros: 115240
Nº de Ficheros Analizados: 14560
Nº de Ficheros Detectados: 1
Nº de Ficheros Eliminados: 0
[/code]

A continuacion he usado la otra cadena: 99bde6f3d5aa566b1edd846450d8ad33f5395174

Este ha encontrado ademas del archivo anterior un archivo GLPS.EXE.(390D33386EC45AA4D33501BA13984669).vir, que me imagino que sea el que antes a movido el otro programa. Uno de los dos has sido eliminado.



Este es el log:


[code]
Wed Mar 25 13:35:47 2009
EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Por favor, Envienos Muestra para Analizar.
C:\Muestras\GLPS.EXE.(390D33386EC45AA4D33501BA13984669).VIR.(99BDE6F3D5AA566B1EDD846450D8AD33F5395174).vir
C:\Muestras\GLPS.EXE.(390D33386EC45AA4D33501BA13984669).VIR --> Eliminado. (Hash: 99BDE6F3D5AA566B1EDD846450D8AD33F5395174).
Por favor, Envienos Muestra para Analizar.
C:\Muestras\GLPS.EXE.(99BDE6F3D5AA566B1EDD846450D8AD33F5395174).vir
C:\RECYCLER\S-1-5-21-2721783656-4893433482-661572052-1617\GLPS.EXE --> Acceso Denegado (Hash: 99BDE6F3D5AA566B1EDD846450D8AD33F5395174).

Nº Total de Directorios: 7589
Nº Total de Ficheros: 115257
Nº de Ficheros Analizados: 14563
Nº de Ficheros Detectados: 2
Nº de Ficheros Eliminados: 1
[/code]



Ademas he notado que los archivos en la carpeta temp que habia dicho que habia salido con el icono de una impresora ahora son tres. 787.exe, 874.exe y 897.exe.

Tambien he notado que a veces se abre la consola del sistema por su propio pie, aunque se cierra inmediatamente. ¿Tendra algo que ver?



Bueno, y visto esto, que tengo que hacer XD.?

[msc hotline sat]

Sí, claro, es lo que ya he indicado al respecto antes, y ampliamente en el articulo que he editado sobre este virus:



http://www.zonavirus.com/noticias/2009/nuevo-virus-de-msn-que-descarga-troj-adobeflash-installexe.asp



Cuando mas tarde subamos dicha version del ELISTARA, sigue lo que hemos indicado para la eliminacion de este, que es "resistente" :roll:



saludos



ms, 25-3-2009







NOTA: Lee bien mi ultimo post anterior a este, de este Tema, incluida la NOTA ! ms.

[msc hotline sat]

Ya hemos subido la version 18.29 del ELISTARA:



https://foros.zonavirus.com/viewtopic.php?f=11&t=28112&start=0



descargala y tras probarla cuentanos el resultado



recuerda: " ...en nuestras pruebas hemos visto que se regeneraba la clave y tenemos que irlo matando paso a paso, en la exploracion del ELISTARA de cada reinicio, y al reiniciar la primera vez, lanzará automáticamente el ELISTARA, tras cuya exploración dará un error del EXPLORER, con lo que nos quedaremos sin escritorio, por lo que habremos de reiniciar con un CTRL_ALT_SUP y en el siguiente reinicio la exploracion ya podrá eliminar el fichero, pero al ser variable la carpeta que crea dentro de RECYCLER, no podemos eliminarlo en acción directa, sino por exploración en cada paso, aunque con ello se tarde mas.

"



Si tienes algun problema en lo indicado, dinoslo y te ayudaremos



saludos



ms, 25-3-2009

[duclos]

Bueno, he estado de vacaciones, y por eso es que no he contestado. Al parecer el virus ya ha pasado a la historia, aunque me ha cosado muchbo tiempo, ya que debido a la cantidad de archivos que tenia en el pc cada exploracion del elistara tardaba casi una hora.



Muchas gracias por todo a todos los que me han ayudado a resolver este molesto problema.

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 3-4-2009