Virus que no deja ejecutar programas antispam (SOLUCIONADO)

[xabi72]

Hola

Soy nuevo y a ver si podeis [b][i]echarme[/i][/b] una mano

Al hacer una busqueda en google pincho en alguno de los resultados y se abre una ventana con publicidad, Intento activar el spyboot, [b][i]malwarebytes[/i][/b], etc y no se ejecutan, se quedan colgados en memoria, me pasa lo mismo en el modo a prueba de fallos. Intenter instalar otro programa y al [b][i]final[/i][/b] de la instalación el virus intento cambiar el ejecutable de programa.exe a programa[1].exe me imagino que habra hecho lo mismo con el resto. Creo que es algo que se carga en memoria al iniciar el equipo.





[b]Panda online me detecta esto[/b]:

MALWARE

Adware/SpywareGuard2008

globalroot\systemroot\system32\UACrwopfqpg.dll



[b]El antivirus trend micro[/b]:

c:\documents and settings\javierramos\configuracion local\temp\UAC99ee.TMP

troj_agent.anre



[b]HijackThis me saca esto[/b]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:23:54, on 06/04/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Archivos de programa\Motorola\SMSERIAL\sm56hlpr.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Generic\Power4 Gear\BatteryLife.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\WINDOWS\system32\dsrv_win.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.urrutianet.vpn.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Supervisor de OfficeScanNT] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [SMSERIAL] C:\Archivos de programa\Motorola\SMSERIAL\sm56hlpr.exe

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Power_Gear] C:\Archivos de programa\Generic\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: DSRV.lnk = C:\WINNT\system32\dsrv_win.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.urrutianet.vpn.es

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://cliente.egestiona.spgaudi.com/invoke_clientes/ScriptX.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237977344896

O16 - DPF: {82C27F5E-31C3-4F86-8B35-FFC32C303C3F} (CtrlDistClienteNet Class) - http://www.ohlnet.vpn.es/distclientenet.cab

O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = urrutia.es

O17 - HKLM\Software\..\Telephony: DomainName = urrutia.es

O17 - HKLM\System\CCS\Services\Tcpip\..\{BF48C1D8-5857-4D14-9AF9-1F7EC1698EE8}: NameServer = 80.58.0.33,194.179.1.100

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = urrutia.es

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Exploración en tiempo real de Trend Micro Client-Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cortafuegos personal de Trend Micro Client-Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe



--

End of file - 8944 bytes

[msc hotline sat]

En el log vemos este fichero sospechoso, envienoslo para analizar:



C:\WINDOWS\system32\dsrv_win.exe



aparte, si aun tiene los ficheros que le detectaban Panda Y Trend, envienoslos tambien:


[quote]Panda online me detecta esto:

MALWARE

Adware/SpywareGuard2008

globalroot\systemroot\system32\UACrwopfqpg.dll



El antivirus trend micro:

c:\documents and settings\javierramos\configuracion local\temp\UAC99ee.TMP

troj_agent.anre [/quote]





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 6-4-2009

[xabi72]

Os envio el archivo dsrv_win.exe los archivos UACrwopfqpg.dll y UAC99ee.TMP los he buscado pero no aparecen

[msc hotline sat]

Pues entendemos que los otros ya los eliminó en su momento, cuando los detectó.



Y recibida la muestra de este otro, los antivirus actualizados no detectan nada, solo PREV X un sospechoso, pero lo monitorizaremos y veremos lo que hace para deshacerlo....


[quote="VirusTotal"]File dsrv_win.exe received on 04.06.2009 15:55:29 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 1/40 (2.5%)



Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.04.06 -

AhnLab-V3 5.0.0.2 2009.04.06 -

AntiVir 7.9.0.138 2009.04.06 -

Antiy-AVL 2.0.3.1 2009.04.06 -

Authentium 5.1.2.4 2009.04.05 -

Avast 4.8.1335.0 2009.04.06 -

AVG 8.5.0.285 2009.04.06 -

BitDefender 7.2 2009.04.06 -

CAT-QuickHeal 10.00 2009.04.06 -

ClamAV 0.94.1 2009.04.06 -

Comodo 1101 2009.04.06 -

DrWeb 4.44.0.09170 2009.04.06 -

eSafe 7.0.17.0 2009.04.06 -

eTrust-Vet 31.6.6435 2009.04.03 -

F-Prot 4.4.4.56 2009.04.05 -

F-Secure 8.0.14470.0 2009.04.06 -

Fortinet 3.117.0.0 2009.04.06 -

GData 19 2009.04.06 -

Ikarus T3.1.1.49.0 2009.04.06 -

K7AntiVirus 7.10.694 2009.04.06 -

Kaspersky 7.0.0.125 2009.04.06 -

McAfee 5575 2009.04.05 -

McAfee+Artemis 5575 2009.04.05 -

McAfee-GW-Edition 6.7.6 2009.04.06 -

Microsoft 1.4502 2009.04.06 -

NOD32 3989 2009.04.06 -

Norman 6.00.06 2009.04.06 -

nProtect 2009.1.8.0 2009.04.06 -

Panda 10.0.0.14 2009.04.05 -

PCTools 4.4.2.0 2009.04.06 -

Prevx1 V2 2009.04.06 Medium Risk Malware

Rising 21.23.41.00 2009.04.03 -

Sophos 4.40.0 2009.04.06 -

Sunbelt 3.2.1858.2 2009.04.04 -

Symantec 1.4.4.12 2009.04.06 -

TheHacker 6.3.4.0.302 2009.04.06 -

TrendMicro 8.700.0.1004 2009.04.06 -

VBA32 3.12.10.2 2009.04.06 -

ViRobot 2009.4.6.1680 2009.04.06 -

VirusBuster 4.6.5.0 2009.04.05 -

Additional information

File size: 75776 bytes

MD5...: 10b77440ad8194a0ef4f1af0fa615e23

SHA1..: a995dbb603b462bb262d76b62e502f15598b11fa [/quote]

Solo PrevX lo considera sospechoso, vamos a ver porqué

[msc hotline sat]

EL fichero en cuestión se ejecuta sin provocar cambios víricos, por lo que no pasamos a controlarlo.



Si quieres probar si es lo que te afecta. añade .VIR a su extensión y tras reiniciar, mira si persiste el problema . y nos informas.



Si con ello no se soluciona, vuelve a dejar la extension dl fichero como estaba antes.



saludos



ms, 7-4-2009

[xabi72]

Buenas

EL archivo que me detectaba el panda on-line sigue detectandolo, tiene que ser algo que se ejecute al iniciar el equipo que no deja que se ejecuten los antispam. ¿No existe alguna aplicacion de limpiez que se ejecute durnate el arranque del equipo antes de que se ejecuten las ordenes de inicio, tipo disco de inicio? He pensado en conectar el disco duro en modo esclavo en otro equipo para intentar limpiarlo.

[msc hotline sat]

Prueba de arrancar en modo seguro, a ver si asi no se carga en memoria y sea la manera de eliminar totalmente a la "madre" del cordero, lanzando el antivirus en dicho modo, pues de lo contrario es posible que sea rootkit y se oculte, y regenere sus "hijos"...



De todas formas ya te indicamos que dichos hijos no parecen ser maliciosos, pero lo que te interesa es controlar a la madre que ... :mrgreen:



saludos



ms, 8-4-2009

[xabi72]

Ya probe en modo prueba de fallos pero el muy hijo de per.. se carga tambien y como decis se debe de esconder en algo para no localizarlo,

[msc hotline sat]

Me huele entonces que será un RootKit... prueba el RootkitDetective de McAfee y nos dices si hay ficheros corriendo en procesos ocultos (lo diice al final del informe)





ROOTKITDETECTIVE (ACCESO AL LINK DE DESCARGA)

http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



saludos



ms, 8-4-2009

[xabi72]

Me aparecen 28 os paso el reporte, creo que aparecen los que detectaba el panda online ya me ireis diciendo que hacer, gracias por las molestias



McAfee(R) Rootkit Detective 1.1 scan report

On 09-04-2009 at 11:01:35

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: Registry-value

Object-Name: AppInit_DLLs

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: DeviceNotSelectedTimeout

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: GDIProcessHandleQuota

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Spooler

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: swapdisk

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: TransmissionRetryTimeout

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: USERProcessHandleQuota

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Status: Hidden



Object-Type: Process

Object-Name: csrss.exe

Pid: 960

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1704

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: TmListen.exe

Pid: 836

Object-Path: C:\Archivos de programa\Trend Micro\OfficeScan Client\TmListen.exe

Status: Visible



Object-Type: Process

Object-Name: sm56hlpr.exe

Pid: 3192

Object-Path: C:\Archivos de programa\Motorola\SMSERIAL\sm56hlpr.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1488

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: File/Folder

Object-Name: UACldlrtapp.dll

Pid: n/a

Object-Path: C:\WINDOWS\system32\UACldlrtapp.dll

Status: Hidden



Object-Type: Process

Object-Name: TosBtHid.exe

Pid: 2636

Object-Path: C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

Status: Visible



Object-Type: Process

Object-Name: iexplore.exe

Pid: 1768

Object-Path: C:\Archivos de programa\Internet Explorer\iexplore.exe

Status: Visible



Object-Type: File/Folder

Object-Name: msxpsinc.gpd

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\amd64\msxpsinc.gpd

Status: Hidden



Object-Type: File/Folder

Object-Name: msxpsdrv.cat

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\i386\msxpsdrv.cat

Status: Hidden



Object-Type: Process

Object-Name: RichVideo.exe

Pid: 560

Object-Path: C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

Status: Visible



Object-Type: Process

Object-Name: jusched.exe

Pid: 3164

Object-Path: C:\Archivos de programa\Java\jre6\bin\jusched.exe

Status: Visible



Object-Type: File/Folder

Object-Name: filterpipelineprintproc.dll

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\amd64\filterpipelineprintproc.dll

Status: Hidden



Object-Type: Process

Object-Name: TosBtHSP.exe

Pid: 2700

Object-Path: C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

Status: Visible



Object-Type: File/Folder

Object-Name: msxpsinc.gpd

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\i386\msxpsinc.gpd

Status: Hidden



Object-Type: File/Folder

Object-Name: UACewqksivu.dll

Pid: n/a

Object-Path: C:\WINDOWS\system32\UACewqksivu.dll

Status: Hidden



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1368

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: nvsvc32.exe

Pid: 500

Object-Path: C:\WINDOWS\system32\nvsvc32.exe

Status: Visible



Object-Type: Process

Object-Name: TosBtProc.exe

Pid: 252

Object-Path: C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe

Status: Visible



Object-Type: Process

Object-Name: services.exe

Pid: 1152

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1928

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: TosA2dp.exe

Pid: 688

Object-Path: C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

Status: Visible



Object-Type: Process

Object-Name: TosBtMng.exe

Pid: 2084

Object-Path: C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

Status: Visible



Object-Type: Process

Object-Name: TosOBEX.exe

Pid: 1836

Object-Path: C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe

Status: Visible



Object-Type: Process

Object-Name: infocard.exe

Pid: 2828

Object-Path: c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

Status: Visible



Object-Type: File/Folder

Object-Name: msxpsinc.ppd

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\i386\msxpsinc.ppd

Status: Hidden



Object-Type: Process

Object-Name: wmiapsrv.exe

Pid: 2240

Object-Path: C:\WINDOWS\system32\wbem\wmiapsrv.exe

Status: Visible



Object-Type: Process

Object-Name: ATKOSD.exe

Pid: 1156

Object-Path: C:\WINDOWS\ATK0100\ATKOSD.exe

Status: Visible



Object-Type: Process

Object-Name: OfcPfwSvc.exe

Pid: 940

Object-Path: C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

Status: Visible



Object-Type: Process

Object-Name: SynTPEnh.exe

Pid: 3172

Object-Path: C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

Status: Visible



Object-Type: File/Folder

Object-Name: UACkilkpibo.dll

Pid: n/a

Object-Path: C:\WINDOWS\system32\UACkilkpibo.dll

Status: Hidden



Object-Type: File/Folder

Object-Name: UACjemrpnkc.dll

Pid: n/a

Object-Path: C:\WINDOWS\system32\UACjemrpnkc.dll

Status: Hidden



Object-Type: File/Folder

Object-Name: uactmp.db

Pid: n/a

Object-Path: C:\WINDOWS\system32\uactmp.db

Status: Hidden



Object-Type: Process

Object-Name: svchost.exe

Pid: 1440

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: rundll32.exe

Pid: 3300

Object-Path: C:\WINDOWS\system32\RUNDLL32.EXE

Status: Visible



Object-Type: File/Folder

Object-Name: UACA46C7DACALHFXTYCAH9C75PCA9MK8RECAUMQCWQCA6GEFQTCAH6EQ95CATK96CGCAN2T88XCAION2FJCAXTP51VCAJL3QP2CACG0G3UCAJ633NSCADTR19WCAKZO6CNCADV4NHU.htm

Pid: n/a

Object-Path: C:\Documents and Settings\javier ramos\Configuración local\Archivos temporales de Internet\Content.IE5\VS3GZAS5\UACA46C7DACALHFXTYCAH9C75PCA9MK8RECAUMQCWQCA6GEFQTCAH6EQ95CATK96CGCAN2T88XCAION2FJCAXTP51VCAJL3QP2CACG0G3UCAJ633NSCADTR19WCAKZO6CNCADV4NHU.htm

Status: Hidden



Object-Type: Process

Object-Name: dsrv_win.exe

Pid: 2092

Object-Path: C:\WINDOWS\system32\dsrv_win.exe

Status: Visible



Object-Type: File/Folder

Object-Name: filterpipelineprintproc.dll

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\i386\filterpipelineprintproc.dll

Status: Hidden



Object-Type: File/Folder

Object-Name: mxdwdrv.dll

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\i386\mxdwdrv.dll

Status: Hidden



Object-Type: Process

Object-Name: BatteryLife.exe

Pid: 3240

Object-Path: C:\Archivos de programa\Generic\Power4 Gear\BatteryLife.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 1164

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: VD6ADC.EXE

Pid: 4016

Object-Path: C:\WINDOWS\TEMP\VD6ADC.EXE

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 1784

Object-Path: C:\Documents and Settings\javier ramos\Mis documentos\McafeeRootkitDetective\Rootkit_Detective.exe

Status: Visible



Object-Type: File/Folder

Object-Name: UAC99ee.TMP

Pid: n/a

Object-Path: C:\Archivos de programa\Trend Micro\OfficeScan Client\SUSPECT\UAC99ee.TMP

Status: Hidden



Object-Type: File/Folder

Object-Name: UACrwopfqpg.dll

Pid: n/a

Object-Path: C:\WINDOWS\system32\UACrwopfqpg.dll

Status: Hidden



Object-Type: Process

Object-Name: jqs.exe

Pid: 204

Object-Path: C:\Archivos de programa\Java\jre6\bin\jqs.exe

Status: Visible



Object-Type: Process

Object-Name: alg.exe

Pid: 2312

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible



Object-Type: Process

Object-Name: PccNTMon.exe

Pid: 3180

Object-Path: C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 3552

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible



Object-Type: File/Folder

Object-Name: msxpsdrv.inf

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\i386\msxpsdrv.inf

Status: Hidden



Object-Type: File/Folder

Object-Name: xpssvcs.dll

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\i386\xpssvcs.dll

Status: Hidden



Object-Type: File/Folder

Object-Name: UACulthwmkl.sys

Pid: n/a

Object-Path: C:\WINDOWS\system32\drivers\UACulthwmkl.sys

Status: Hidden



Object-Type: Process

Object-Name: winlogon.exe

Pid: 1104

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1600

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: RTHDCPL.exe

Pid: 3212

Object-Path: C:\WINDOWS\RTHDCPL.EXE

Status: Visible



Object-Type: File/Folder

Object-Name: msxpsdrv.inf

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\amd64\msxpsdrv.inf

Status: Hidden



Object-Type: Process

Object-Name: explorer.exe

Pid: 2996

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: EvtEng.exe

Pid: 176

Object-Path: C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

Status: Visible



Object-Type: File/Folder

Object-Name: mxdwdrv.dll

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\amd64\mxdwdrv.dll

Status: Hidden



Object-Type: File/Folder

Object-Name: UACosrqhrxh.db

Pid: n/a

Object-Path: C:\WINDOWS\system32\UACosrqhrxh.db

Status: Hidden



Object-Type: File/Folder

Object-Name: UACxmeybwwg.dat

Pid: n/a

Object-Path: C:\WINDOWS\system32\UACxmeybwwg.dat

Status: Hidden



Object-Type: Process

Object-Name: spnsrvnt.exe

Pid: 612

Object-Path: C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

Status: Visible



Object-Type: Process

Object-Name: ZCfgSvc.exe

Pid: 3340

Object-Path: C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe

Status: Visible



Object-Type: File/Folder

Object-Name: xpssvcs.dll

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\amd64\xpssvcs.dll

Status: Hidden



Object-Type: Process

Object-Name: HControl.exe

Pid: 3496

Object-Path: C:\WINDOWS\ATK0100\HControl.exe

Status: Visible



Object-Type: Process

Object-Name: Dot1XCfg.exe

Pid: 2628

Object-Path: C:\Archivos de programa\Intel\Wireless\Bin\Dot1XCfg.exe

Status: Visible



Object-Type: File/Folder

Object-Name: UACpqbqetqj.log

Pid: n/a

Object-Path: C:\WINDOWS\system32\UACpqbqetqj.log

Status: Hidden



Object-Type: Process

Object-Name: svchost.exe

Pid: 676

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: File/Folder

Object-Name: msxpsinc.ppd

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\amd64\msxpsinc.ppd

Status: Hidden



Object-Type: File/Folder

Object-Name: uacinit.dll

Pid: n/a

Object-Path: C:\WINDOWS\system32\uacinit.dll

Status: Hidden



Object-Type: Process

Object-Name: smss.exe

Pid: 896

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: RegSrvc.exe

Pid: 524

Object-Path: C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

Status: Visible



Object-Type: Process

Object-Name: iFrmewrk.exe

Pid: 3376

Object-Path: C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

Status: Visible



Object-Type: Process

Object-Name: S24EvMon.exe

Pid: 1548

Object-Path: C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

Status: Visible



Object-Type: Process

Object-Name: MDM.EXE

Pid: 308

Object-Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

Status: Visible



Object-Type: Process

Object-Name: NTRtScan.exe

Pid: 432

Object-Path: C:\Archivos de programa\Trend Micro\OfficeScan Client\NTRtScan.exe

Status: Visible



Object-Type: File/Folder

Object-Name: msxpsdrv.cat

Pid: n/a

Object-Path: C:\4e91cde219370f3eadd2be4efc06d0\amd64\msxpsdrv.cat

Status: Hidden



Object-Type: File/Folder

Object-Name: UACdxbxwxda.dll

Pid: n/a

Object-Path: C:\WINDOWS\system32\UACdxbxwxda.dll

Status: Hidden



Scan complete. Found hidden Processes and Files: 28 .

Total files scanned: 44918

[msc hotline sat]

Pues BINGO ! Voy a capturar todas ellos y te indico como proceder.



Bueno pues tienes 28 ficheros en procesos ocultos, tipicos en los Rootkits





Found hidden Processes and Files: 28





C:\WINDOWS\system32\UACdxbxwxda.dll



C:\4e91cde219370f3eadd2be4efc06d0\amd64\msxpsdrv.cat



C:\WINDOWS\system32\uacinit.dll



C:\4e91cde219370f3eadd2be4efc06d0\amd64\msxpsinc.ppd



C:\WINDOWS\system32\UACpqbqetqj.log



C:\4e91cde219370f3eadd2be4efc06d0\amd64\xpssvcs.dll



C:\WINDOWS\system32\UACxmeybwwg.dat



C:\WINDOWS\system32\UACosrqhrxh.db



C:\4e91cde219370f3eadd2be4efc06d0\amd64\mxdwdrv.dll



C:\4e91cde219370f3eadd2be4efc06d0\amd64\msxpsdrv.inf



C:\WINDOWS\system32\drivers\UACulthwmkl.sys



C:\4e91cde219370f3eadd2be4efc06d0\i386\msxpsdrv.inf



C:\WINDOWS\system32\UACrwopfqpg.dll



C:\Archivos de programa\Trend Micro\OfficeScan Client\SUSPECT\UAC99ee.TMP



C:\4e91cde219370f3eadd2be4efc06d0\i386\mxdwdrv.dll



C:\4e91cde219370f3eadd2be4efc06d0\i386\filterpipelineprintproc.dll



C:\Documents and Settings\javier ramos\Configuración local\Archivos temporales de Internet\Content.IE5\VS3GZAS5\UACA46C7DACALHFXTYCAH9C75PCA9MK8RECAUMQCWQCA6GEFQTCAH6EQ95CATK96CGCAN2T88XCAION2FJCAXTP51VCAJL3QP2CACG0G3UCAJ633NSCADTR19WCAKZO6CNCADV4NHU.htm



C:\WINDOWS\system32\uactmp.db



C:\WINDOWS\system32\UACjemrpnkc.dll



C:\WINDOWS\system32\UACkilkpibo.dll



C:\4e91cde219370f3eadd2be4efc06d0\i386\msxpsinc.ppd



C:\WINDOWS\system32\UACewqksivu.dll



C:\4e91cde219370f3eadd2be4efc06d0\i386\msxpsinc.gpd



C:\4e91cde219370f3eadd2be4efc06d0\amd64\filterpipelineprintproc.dll



C:\4e91cde219370f3eadd2be4efc06d0\i386\msxpsdrv.cat



C:\4e91cde219370f3eadd2be4efc06d0\amd64\msxpsinc.gpd



C:\WINDOWS\system32\UACldlrtapp.dll







Normalmente no deben estar accesibles o visibles en modo normal, asi que mira si los puedes copiar a C:\muestras con el ELIMOVER, y si no puedes, arranca con el CD de instalacion, pulsa R para acceder a Consola de Reparacion, y desde alli podrás, copialos a C:\muetsras y luego envianoslos para analizar





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-4-2009

[xabi72]

Ya he solucionado el problema,

Se me ha ocurrido borrar a la brava la carpeta C:\4e91cde219370f3eadd2be4efc06d0 porque era muy rara y no me sonaba de nada, al principio no me dejaba, he utilizado el unlocker para ello, he reiniciado y ya podia utilizar los programas antispam que antes no podia, he hecho una limpieza a fondo para terminar de eliminar restos y ya esta limpio y funcionando perfectamente.

Gracias por vuestro tiempo y ayuda, me ha servido para aprender algun truquillo.

Un saludo

[msc hotline sat]

Bien, aunque hay otras DLL sospechosas que convedría nos enviases para aanalizar:



C:\WINDOWS\system32\UACjemrpnkc.dll



C:\WINDOWS\system32\UACkilkpibo.dll



C:\WINDOWS\system32\UACewqksivu.dll



C:\WINDOWS\system32\UACldlrtapp.dll





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 14-4-2009

[xabi72]

Al hacer la limpieza esos dll se eliminaron, serian parte del problema

Gracias por todo

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 14-4-2009