¿Posible Virus? (SOLUCIONADO)

[.Exe]

Buenas tardes a todos, esta mañana al encender la pc antes de que llege a la pantalla de Windows XP donde esta la barrita que carga no pasaba de ese lugar osea esperaba y no pasaba a la barrita esa , hasta que oprimi ctrl+alt+supr y agarro , raro por que

despues en el escritorio no respondia ni el mouse ni el teclado,

como era una primera vez de este problema pense que tal vez seria algun virus o algo por el estilo.

Intente bajando el elistara ya que me ha sacado de varios casos pero al ejecutarlo

Me tira un cartelito de error de que el Programa ha sido modificado por un virus o algo por el estilo, alguna idea de esto?

o tal vez sepan de algun otro programita para pasarle haber que cuenta la pc (Ademas de numeros en binario) mal chiste mal chiste .



Bueno le agradezco la leida!

saludos.

[msc hotline sat]

Nuestro ADMIN ya está estudiando la posible causa de que, a veces, las descargas de nuestras utilidades indiquen que han sido modificadas, y mientras, descarga el SPROCES y tras probarlo, nos posteas el informe resultante:


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 31-5-2009

[.Exe]

LO que de verdad no entiendo , es como hacen para responder tan rapido! . jaja



Gracias por responder, te cuento al bajarme el programa que me indicaste me sigue saliendo el mismo mensaje :x

[img]http://s3.subirimagenes.com/privadas/previo/thump_495478sinttulo1.jpg[/img]



-¿Dirias Que es Tiempo de Preocuparnos y correr de un lado a otro?

[msc hotline sat]

Pues si que estamos listos... al parecer es un problema en las descargas, prueba de hacerlo arrancando en MODO SEGURO CON FUNCIONES DE RED, y nos cuentas si asi te van bien, gracias



saludos



ms, 31-5-2009

[.Exe]

Bueno perdon por la tardanza del post,

te cuento que hoy me quise bajar de nuevo SPROCES y bueno , me tiro otra vez el error ese del virus

intentando bajarlo mediante el modo seguro con red me quede a mitad de camino ya que para poder conectar internet

necesito conectarlo manualmente mediante un acceso directo que tengo en el escritorio.

Cosa que le daba doble click y no me lo habria y no me lo habria pero las demas cosas si.

Puede que sea el unico que tiene ese problema del cartelito del virus??



saludos.

[msc hotline sat]

No, son varios los Temas al respecto.



Y para ver que no se trate de una infeccion real que modifique los ficheros en cuestion, descarga el ELIMD5.EXE y tras probarlo, si dice lo mismo, subelo al virustotal ( https://www.virustotal.com/es/ ) y nos posteas el informe resultante:



[b][i]DESCARGA DEL ELIMD5[/i][/b]

http://www.zonavirus.com/descargas/elimd5.asp



Luego nos lo envias para analizar (pulsando el boton superior derecho de esta pantalla) y lo compararemos con el original, para ver que es lo que ha cambiado



saludos



ms, 1-6-2009

[.Exe]

De Nuevo "Achivo modificado posiblemente por un virus" :x :x :x

Esto ya se pone molesto no puedo bajar nada ni el elistara ni el ELIMD5 nadaa! :(

sera que de verdad tengo algun virus que este actuando sobre archivos que bajo? o sera que estan infectados

todos estos programas?

Tal vez Preguntando a alguien mas que le ocurra esto no tanto con el elistara sino tambien con los demas programas.

Porque hasta ahora no eh podido bajar nada por ese mensaje molesto.

[msc hotline sat]

Haz lo que se indica en el post anterior al tuyo, sube el fichero ELIMD5.EXE que has descargado, al VirusTotal y posteanos el informe resultante.



saludos



ms, 1-5-2009

[.Exe]

Bueno lo subi a virus total y este fueron los resultados:

Análisis del archivo EliMD5.exe recibido el 2009.06.01 19:03:55 (UTC)

Estado actual: análisis terminado

Resultado: 1/40 (2.5%)



eSafe 7.0.17.0 2009.06.01 Suspicious File (El unico antivirus que detecto algo)



INFO ADICIONAL:



Información adicional

Tamano archivo: 21616 bytes

MD5...: 52b4361d74a51f5e8cad3c8351c95f0e

SHA1..: b6ff6d9476a0a9178074c6efeb3f8424ac546c4e

SHA256: 1522bb6e91099e303d3124aa58fe0244f8313935e74836c930558569235c5fbb

ssdeep: -

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

TrID..: File type identification

DOS Executable Generic (99.6%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.3%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x17300

timedatestamp.....: 0x494a1fd7 (Thu Dec 18 10:03:03 2008)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x12000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x13000 0x5000 0x4600 7.77 b970fd2208678a564cc5fe18a84b5102

.rsrc 0x18000 0x1000 0xa00 3.17 452a0bc4190644d9555e6b23880e3e23



( 4 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

> MFC42.DLL: -

> MSVCRT.dll: time

> USER32.dll: DrawIcon



( 0 exports )

PDFiD.: -

RDS...: NSRL Reference Data Set

-

packers (Kaspersky): UPX

packers (F-Prot): UPX





Nose si esto es bien bien lo que me pedias cualquier cosa me lo haces saber!

[msc hotline sat]

Sí, señal que no está infectado, solo modificado por alguna cuestion del navegador, que es lo que suponemos



Mira de descargar las utilidades desde otro navegador oi desde otro ordenador, hasta que sepamos lo que está alterando los ficheros que bajas.



Las utilidades deben funcionar sin problemas, ya que no tienes virus que las modifique.



saludos



ms, 1-6-2009

[.Exe]

Si eso es cierto al parecer no tiene ningun virus ya que tampoco mi anti virus de la pc me advirtio ni respondio cuando le hice un escaneo con el mismo.

Te cuento yo [b][i]uso[/i][/b] siempre el firefox la primera vez que me ocurre esto con el elistara y demas, lo baje ahora con el Internet explorer y aun me sigue diciendo lo mismo.

Le voy a pedir a un amigo que se lo baje [b][i]a ver[/i][/b] que le dice

[msc hotline sat]

Sí, creemos que es alguna historia de navegedores, igual por el hecho de tener instalado el firefox, o alguna DLL del mismo... el caso es que a los que a ADMIN y a mi, que usamos I.E. no nos pasa.



Cuentenos tus progresos al respecto, gracias



saludos



ms, 1-6-2009

[.Exe]

buenas tardes primero que nada perdon por la tardanza debo decir que estuve muy ocupado estos dias.

Por el tema del elistara hoy probe en bajarlo y no me sale mas el cartelito ese del virus

un amigo hace unos dias atras probo en bajarlo tambien y le aparicio lo mismo.

asi que descarto que sea algo del firefox ya que me lo volvi a bajar del mismo.

Esta tarde lo voy a pasar a ver que encuentra!



saludos y Gracias.

[lucl]

Antes de nada echa un vistazo a este link y no te preocupes mas , saludos







https://foros.zonavirus.com/viewtopic.php?f=5&t=28747

[msc hotline sat]

Efectivamente, y aparte de la incidencia en las descargas, ya solucionado, veamos si aun persiste la anomalía que motivó este Tema, y si es asi, prueba el ELISTARA y posteanos el informe resultante, y si no detecta nada ni pide muestras, prueba el SPROCES y posteanos el informe resultante, con lo que procederemos en consecuencia.



Los links del ELISTARA y del SPROCES son los mismos que se indicaban en los post anteriores de este Tema.



saludos



ms, 7-6-2009

[.Exe]

Bueno ahora que se puede entrar a los programas aqui dejo el del SP ya que el elistara no me encontro nada:



(7-6-2009 17:39:35 GMT)

SProces v3.8 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Nombre Equipo: SWEET_HOME

Nombre Usuario: Balde



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DAEMON.EXE

C:\ARCHIVOS DE PROGRAMA\PTI800\ADSL\CNXDSLTB1.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\USNSVC.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YMSGR_TRAY.EXE

G:\JDOWNLOADER 0.5.917\RECONECT\RECONNECT.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JAVAW.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMP.EXE

C:\DOCUMENTS AND SETTINGS\BALDE\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKCU\..\Run: [EPSON Stylus CX5600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAL.EXE /FU "C:\WINDOWS\TEMP\E_SEA.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\PTI800\ADSL\CnxDslTb.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: Adobe Reader Speed Launch.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.18\AMVConverter\grab.html

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-486e40404729fc49.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D7B16EA-E07F-4779-8B5B-F3192AEBA28A}: NameServer = 201.251.1.42 201.251.1.34

O18 - Protocol: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - C:\ARCHIV~1\COPERN~1\COPERN~1.DLL (file missing)

O18 - Protocol: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - C:\ARCHIV~1\COPERN~1\COPERN~1.DLL (file missing)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Reference 2001\msero.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Advanced SCSI Programming Interface Driver (ASPI) - Adaptec - C:\WINDOWS\System32\DRIVERS\ASPI32.sys

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: SAMSUNG Video Capture Driver (Camav) - Samsung electronics, Inc - C:\WINDOWS\SYSTEM32\Drivers\Camav.sys

O23 - Service: PTI800 ADSL USB WAN Adapter Filter Driver (CnxEtP) - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\CnxEtP.sys

O23 - Service: PTI800 ADSL USB Interface Device Driver (CnxEtU) - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\CnxEtU.sys

O23 - Service: PTI800 ADSL USB WAN Adapter Driver (CnxTgN) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\CnxTgN.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: npkcrypt - Unknown owner - G:\Archivos de Programa\Lineage II\system\npkcrypt.sys (file missing)

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Parallel Port Joystick Bus device driver (PPJoyBus) - Deon van der Westhuysen - C:\WINDOWS\SYSTEM32\drivers\PPJoyBus.sys

O23 - Service: Parallel Port Joystick device driver (PPortJoystick) - Deon van der Westhuysen - C:\WINDOWS\SYSTEM32\drivers\PPortJoy.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: S3SavageNB - S3 Graphics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\s3gnbm.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Vinyl AC'97 Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\viaudios.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



32 Servicios.

7 de Carga Automatica.

24 de Carga Manual.

1 Deshabilitados.







-CUalquier cosa me dicen



saludos.

[msc hotline sat]

Vemos este fichero sospechoso:



G:\JDOWNLOADER 0.5.917\RECONECT\RECONNECT.EXE



Indiquenos si su uso es voluntario o envienoslo para analizar:





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 7-6-2009

[.Exe]

SI el JDOWNLOADER lo uso como gestor de descargas.

Yo hace un tiempo cuando lo bajaba mi antivirus me indicaba que tenia un virus pero un amigo me indico que ese problema ya no estaba mas y pase a descargarlo una vez descargado lo analise con el antivirus y elistara y no encontro nada por eso

descarte de que tenga algun virus como antes, de momento no experimento ningun problema

pero si quieren se lo puedo mandar para analizar aunque es toda una carpeta.



saludos

[msc hotline sat]

Si es voluntario, ya es cosa de cada uno...



Pero súbalo al VirusTotal www.virustotal.com/es para que lo analicen los 40 antivirus y nos postea el resultado, gracias



saludos



ms, 8-6-2009

[.Exe]

Bueno les dejo el resultado perdon porque se deformo un poco =< y bueno parece que si tenia unos cuantos virus

ustedes me diran aunque como dije aun no experimente nada lo de la compu que no habia arrancado fue antes de este programa pero como dije ustedes diran!

saludos.



Análisis del archivo ReConnect.exe recibido el 2009.05.16 12:19:30 (UTC)

Motor antivirus Versión Última actualización Resultado

a-squared 4.0.0.101 2009.05.16 -

AhnLab-V3 5.0.0.2 2009.05.15 Win-Trojan/Xema.variant

AntiVir 7.9.0.168 2009.05.15 -

Antiy-AVL 2.0.3.1 2009.05.15 -

Authentium 5.1.2.4 2009.05.16 -

Avast 4.8.1335.0 2009.05.15 -

AVG 8.5.0.336 2009.05.15 -

BitDefender 7.2 2009.05.16 -

CAT-QuickHeal 10.00 2009.05.15 -

ClamAV 0.94.1 2009.05.15 -

Comodo 1157 2009.05.08 Unclassified Malware

DrWeb 5.0.0.12182 2009.05.16 -

eSafe 7.0.17.0 2009.05.14 Win32.TrojanHorse

eTrust-Vet 31.6.6508 2009.05.16 -

F-Prot 4.4.4.56 2009.05.16 -

F-Secure 8.0.14470.0 2009.05.15 -

Fortinet 3.117.0.0 2009.05.16 -

GData 19 2009.05.16 -

Ikarus T3.1.1.49.0 2009.05.16 -

K7AntiVirus 7.10.735 2009.05.14 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.05.16 -

McAfee 5616 2009.05.15 Generic.dx

McAfee+Artemis 5616 2009.05.15 Generic.dx

McAfee-GW-Edition 6.7.6 2009.05.15 -

Microsoft 1.4602 2009.05.16 -

NOD32 4080 2009.05.15 -

Norman 6.01.05 2009.05.16 W32/Smalltroj.KYUT

nProtect 2009.1.8.0 2009.05.16 -

Panda 10.0.0.14 2009.05.16 Trj/CI.A

PCTools 4.4.2.0 2009.05.16 -

Prevx 3.0 2009.05.16 Medium Risk Malware

Rising 21.29.52.00 2009.05.16 -

Sophos 4.41.0 2009.05.16 -

Sunbelt 3.2.1858.2 2009.05.16 -

Symantec 1.4.4.12 2009.05.16 Trojan Horse

TheHacker 6.3.4.1.326 2009.05.15 -

TrendMicro 8.950.0.1092 2009.05.15 -

VBA32 3.12.10.5 2009.05.16 -

ViRobot 2009.5.15.1737 2009.05.15 -

VirusBuster 4.6.5.0 2009.05.15 -

Información adicional

File&nbsp;size: 225792 bytes

MD5&nbsp;&nbsp;&nbsp;: bd561c865f6f1e74701a94387aab6779

SHA1&nbsp;&nbsp;: 9347bbe86dfa8e3a2feb33cf0639f9b8a3028d7c

SHA256: 7ab7d42f688bc198affd370a147de337300f1a17f0caff299d1f2f82a4ba55ec

PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x98001<br> timedatestamp.....: 0x2A425E19 (Sat Jun 20 00:22:17 1992)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 10 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> CODE 0x1000 0x76000 0x2F000 8.00 1029270eec699ec766aaa21d890cf5dc<br>DATA 0x77000 0x2000 0xE00 7.53 99b2a4279f37fae6108fdde36da6186e<br>BSS 0x79000 0x2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x7B000 0x3000 0xE00 7.95 c18e7b885e070b0691ace8158a2571c2<br>.tls 0x7E000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rdata 0x7F000 0x1000 0x200 0.20 091bd8c9ef5b02eb3a0685b02c09ddae<br>.reloc 0x80000 0xA000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rsrc 0x8A000 0xE000 0x3400 7.18 336fb9207bee76894670a05a4f738ef0<br>.aspack 0x98000 0x3000 0x2C00 4.25 c1d5ee1bdf87c3046b5f3252f027bdc2<br>.adata 0x9B000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br> <br> ( 11 imports )<br> <br>> advapi32.dll: RegQueryValueExA<br>> comctl32.dll: ImageList_SetIconSize<br>> gdi32.dll: UnrealizeObject<br>> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA<br>> ole32.dll: CoUninitialize<br>> oleaut32.dll: SysFreeString<br>> shell32.dll: Shell_NotifyIconA<br>> user32.dll: GetKeyboardType<br>> version.dll: VerQueryValueA<br>> winspool.drv: OpenPrinterA<br>> wsock32.dll: WSACleanup<br> <br> ( 0 exports )<br>

TrID&nbsp;&nbsp;: File type identification<br>ASPack compressed Win32 Executable (generic) (85.7%)<br>Win32 Executable Generic (5.4%)<br>Win32 Dynamic Link Library (generic) (4.8%)<br>Win16/32 Executable Delphi generic (1.3%)<br>Generic Win/DOS Executable (1.2%)

ThreatExpert: <a href="http://www.threatexpert.com/report.aspx?md5=bd561c865f6f1e74701a94387aab6779" target="_blank">http://www.threatexpert.com/report.aspx?md5=bd561c865f6f1e74701a94387aab6779</a>

ssdeep: 6144:PhTpN5kU/OA21bQailSRBsmC8lNikyeiHjfbmzzzz:PhTpXkU/OA21bQabBsmCaNn

PEiD&nbsp;&nbsp;: ASPack v2.12

packers&nbsp;(Kaspersky): ASPack

packers&nbsp;(F-Prot): Aspack

CWSandbox: <a href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=bd561c865f6f1e74701a94387aab6779" target="_blank">http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=bd561c865f6f1e74701a94387aab6779</a>

RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-

[msc hotline sat]

Pues ya ves que 10 antivirus lo detectan como troyano:



AhnLab-V3 5.0.0.2 2009.05.15 Win-Trojan/Xema.variant

Comodo 1157 2009.05.08 Unclassified Malware

eSafe 7.0.17.0 2009.05.14 Win32.TrojanHorse

K7AntiVirus 7.10.735 2009.05.14 Trojan.Win32.Malware.1

McAfee 5616 2009.05.15 Generic.dx

McAfee+Artemis 5616 2009.05.15 Generic.dx

Norman 6.01.05 2009.05.16 W32/Smalltroj.KYUT

Panda 10.0.0.14 2009.05.16 Trj/CI.A

Prevx 3.0 2009.05.16 Medium Risk Malware

Symantec 1.4.4.12 2009.05.16 Trojan Horse



Te recomendamos no usarlo, pero cada cual es libre de hacer lo que quiera.



Por nuestra parte con ello ya damos por solucionado el Tema y procedemos a cerrarlo.



saludos



ms, 8-6-2009