Sintomas de virus

[barrabaixa]

Buenos días,



Hace un par de semanas que estuve buscando un crack del Office por páginas de ésas que no me gustan en absoluto.

Evidentemente me infecté de algún o otro virus, porque desde entonces el ordenador no es el mismo (con Win XP), y el portátil, con Win Vista, también se ha infectado y me parece que es lo mismo.

Hos cuento los síntomas del ordenador con windows XP:

- Cuelgue del ordenador al abrir determinados programas: I. Explorer, AutoCad, editores de video...

- Anuncios pop-up por un tubo navegando por páginas sin publicidad.

- Cuando hago búsqueda por Google y pincho en un resultado, no va al link del resultado y va a otras webs, siempre las mismas (Ask.com, por ejemplo).

- No se actualizan los antivirus. El NOD32 sí, pero el Ad-Aware no, y todos los que he provado on-line fallan en el punto de recibir las actualizaciones.

- No me deja acceder a la página de Windows Update, se me vuelve al google.



Diria que ésto es un resumen de todo. En el portatil con windows Vista no se me cuelga el ordenador, pero todo lo otro es igual, y además me ha desaparecido.



Por lo que he leído, pensaba que podía ser el Conficker, pero he hecho el test de las seis imágenes y me ha salido como no infectado.



Saludos, gracias.

[msc hotline sat]

Pues a nosotros no nos gustan ni estas paginas, ni lo cracks, ni el VISTA ... ! :?



Y no, no es propio del conficker la publicidad, pero podría haber mas de uno, claro :roll:



Como que dices que puedes navegar a casas antivirus, lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 8-4-2009

[barrabaixa]

Pues sí que puedo navegar por las páginas de antivirus pero no puedo analizar: en el kaspersky hace el primer paso de descargar el programa pero en el segundo, "updating the database", intenta descargar el archivo unas cuantas veces pero no lo consigue.

Ésto me pasa con todos los anti-virus online, excepto con el de AhnLab (MyV3), que lo estoy realizando ahora.



Gracias

[msc hotline sat]

No lo usamos, pero mira si detecta algo y nos lo comentas, gracias



saludos



ms, 8-4-2009

[barrabaixa]

He podido hacer un analisis con el NOD32 en el sistema en el que tengo Win XP.



Ha encontrado y desinfectado algunas cosas, pero continua fallando.

Adjunto el registro:

Comienzo: 08/04/2009 11:28:18

Registro de sucesos

NOD32 Scanner versión 3993 (20090407) NT

- Está correcto en memoria operativa



Fecha: 8.4.2009 hora: 11:28:26

Discos, carpetas y archivos analizados: C:

C:\Archivos de programa\Codemasters\Race Driver 3\rd3.patcher.exe - Variante modificada de Win32/HackTool.Patcher.A aplicación

C:\Archivos de programa\eMule\incoming\autoclosets 3.0 Serial CDs.rar »RAR »setup.exe - Win32/Kapucen.B (Gusano de Internet)

C:\Archivos de programa\eMule\incoming\Autokitchen KitchenDraw 4 0 + Crack Diseño de Cocinas Baños y otros este FU NCIONA! muy bueno updated-fixed 02-2007.zip »ZIP »Setup.exe - Win32/Kapucen.B (Gusano de Internet)

C:\WINDOWS\system32\cmdow.exe - Win32/CMDOW.143 aplicación - Puesto en cuarentena - Eliminado

C:\WINDOWS\Temp\pic.simulator.ide.5.21.crack-tsrh-1.zip »ZIP »crack.exe - Variante modificada de Win32/Tool.TPE.A aplicación

C:\WINDOWS\Temp\pic.simulator.ide.5.21.crack-tsrh.zip »ZIP »crack.exe - Variante modificada de Win32/Tool.TPE.A aplicación

Cantidad de archivos analizados: 879419

Cantidad de virus detectados: 6

Cantidad de archivos desinfectados: 2

Cantidad de virus activos: 4

Hora de finalización: 13:23:37 . Tiempo total de análisis: 6911 seg (01:55:11)



Notas:

[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.

[lucl]

Pues envianos los cuatro que no ha podido desinfectarte y te los analizaremos pero no olvides que el andar con la mula es lo que tiene que te arriesgas a tener inquilinos :roll: saludos





https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[msc hotline sat]

Si, es lo que pasa con P2P...



Y visto que hay variantes del Puce, prueba el ELITRIIP:


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

saludos



ms, 8-4-2009

[barrabaixa]

Pues no ha encontrado nada, pego aquí:





(10-4-2009 10:21:45)

EliTriIP v5.71 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado Bifrose(sys)

Eliminado Servicio, "oreans32"

Eliminado Servicio, "SCardSvr"

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.alcohol-soft.com

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(10-4-2009 10:22:32)

EliTriIP v5.71 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 20815

Nº Total de Ficheros: 223148

Nº de Ficheros Analizados: 33806

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Me ha dicho que instale las actualizaciones de w.update, pero al intentar acceder a la web me sale el siguiente error de google:

Not Found

The requested URL /windowsupdate/v6/thanks.aspx?ln=es&&thankspage=5 was not found on this server.



He pasado el Hijackthis para ver si encontraba algo. Adjunto el log.



Gracias.

[msc hotline sat]

Ahora miraré el log, pero de entrada vemos:



No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)





Lanzar un windowsupdate e instalar el SP3 y demas críticos posteriores , como el MS08-067 y MS08-078



pego aqui el log, para analizarlo mejor (siempre decimos postear con un copiar y pegar...)



ogfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:08:45, on 10/04/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Google\Update\GoogleUpdate.exe

C:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Norton Ghost\Agent\VProSvc.exe

C:\Archivos de programa\PC Tools Firewall Plus\FWService.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\Archivos de programa\M-Audio Uno\UnoInst.exe

C:\WINDOWS\system32\dllhost.exe

C:\Archivos de programa\Norton Ghost\Shared\Drivers\SymSnapService.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\PC Tools Firewall Plus\FirewallGUI.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Google\Google Talk\googletalk.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.huddi.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Archivos de programa\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [00PCTFW] "C:\Archivos de programa\PC Tools Firewall Plus\FirewallGUI.exe" -s

O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart

O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Archivos de programa\DAEMON Tools Lite\daemon.exe -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Cursors" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\msagent" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Oobe" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Connection Wizard" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\NtmsData" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_09] cmd.exe /c md "%SystemDrive%\WINDOWS\Temp" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_10] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_11] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_13] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_14] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Cursors" (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2F15E890-C326-485E-A699-B40B9F5D3685}: NameServer = 85.255.112.126,85.255.112.150

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2BC119D-F9B7-47D2-B089-AC6B5A1E072B}: NameServer = 85.255.112.126,85.255.112.150

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Google Update Service (gupdate1c985fb87d9463e) (gupdate1c985fb87d9463e) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton Ghost\Agent\VProSvc.exe

O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Archivos de programa\PC Tools Firewall Plus\FWService.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe

O23 - Service: Prime95 Service - Unknown owner - C:\Archivos de programa\Prime95\prime95.exe (file missing)

O23 - Service: SentinelProtectionServer - SafeNet, Inc - C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SymSnapService - Symantec - C:\Archivos de programa\Norton Ghost\Shared\Drivers\SymSnapService.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Uno Installer (UnoInstallerService) - Unknown owner - C:\Archivos de programa\M-Audio Uno\UnoInst.exe

[msc hotline sat]

Envianos este fichero sospechoso para analizar:



C:\windows\System32\syssetub.dll





y estas claves redireccionan a un Servidor de DNS de Ukraina, supuestamnete malicioso:



O17 - HKLM\System\CCS\Services\Tcpip\..\{2F15E890-C326-485E-A699-B40B9F5D3685}: NameServer = 85.255.112.126,85.255.112.150



O17 - HKLM\System\CCS\Services\Tcpip\..\{C2BC119D-F9B7-47D2-B089-AC6B5A1E072B}: NameServer = 85.255.112.126,85.255.112.150



O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150



O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150





Consulte a su ISP los DNS servers que le aconseja usar y sustituyalos en el registro con el CONFGDNS.EXE





CONFGDNS.EXE:

http://www.zonavirus.com/descargas/confgdns.asp











y elimina todas estas claves RUNONCE que deberían haber desaparecido en el siguiente reinicio



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Cursors" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\msagent" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Oobe" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Connection Wizard" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\NtmsData" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_09] cmd.exe /c md "%SystemDrive%\WINDOWS\Temp" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_10] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_11] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_13] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_14] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICIO LOCAL')



O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Cursors" (User 'Servicio de red')





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 10-4-2009

[barrabaixa]

El problema es éste, que no puedo acceder a windowsupdate de ninguna forma. Suponogo que el virus o lo que sea lo habrá bloqueado... Hay alguna otra forma de instalar las actualizaciones de seguridad?

[barrabaixa]

Ya hos he enviado la muestra del archivo dll, he canviado las DNS y me he cargado esos registros.

A ver si mejora.



Muchas gracias.

[msc hotline sat]

Pues añade la extension .VIR al fichero en cuestion, syssetub.dll, para que tras reiniciar ya no quede operativo, a la espera del analisis que, tras el que, si procede, implenmentaremos su control y eliminacion en nuestras utilidades, ya que podría ser alguna variante de la familia VUNDO... ???



Luego reinicia y dinos si persisten las anomalias. Y subre dicho fichero al virustotal, www.virustotal.com/es , y , si algun antivirus detecta virus, posteanos el informe resultante, gracias



A ver si tras todo ello puedes lanzar ya el windowsupdate.



A no ser que sea un windows UE o haya alguna otra causa como que no estuviera registrado con microsoft ...



saludos



ms, 10-4-2009

[barrabaixa]

Pues sí!!! ya puedo navegar por todas las webs sin problemas, incluso por windowsupdate.

La primera actualizacion que ha instalado la "Herramienta de validación del Programa de Ventajas de Windows Original (KB892130)". Ahora voy a por las otras.



Muchas gracias por todo, supongo que sería lo de las DNS o los registros!



Estoy escaneando con Kaspersky aver si encuentra algo.



Saludos

[msc hotline sat]

Quizas encontrará el fichero que nos has enviado, aunque si le has añadido la extension .VIR como te decía, ya no incordiará.



De todas formas, posteanos el informe resultante de dicho AV ONLINE, por si vemos algo mas, gracias



saludos



ms, 10-4-2009

[msc hotline sat]

Recibida la muestra parece ser una DLL deinstalacion , asi que ya no es necesaria si ya está instalado, y si tal como ahora le queda funciona correctamente, mas bien era por los cambios en el HOSTS, que ya hemos restaurado.



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 14-4-2009