Estimados amigos tengo Problemas con mi PC esta infectado con Sality.y y cada vez que inicio me elimina mis anitivirus,
no se si me puedan ayudar.
Ayuda con Sality.y
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con Sality.y
Es un virus infector de ejecutables, deben limpiarse los ficheros infectados con el antivirus, arrancando en modo seguro, y si ya no te funciona el antivirus, coloca el disco duro como esclavo de otro ordenador y desde el master del mismo, lanza el antivirus sobre el esclavo para limpiarlo:
http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=6728
saludos
ms, 13'6-2009
saludos
ms, 13'6-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con Sality.y
Recibidas muestras de dos ficheros con downloader mumawow y un windows.exe infectado con el sality
Como ya le indicamos, para el sality debe arrancar en modo seguro y lanzar el antivirus sobre dicho disco duro, y mejor colocandolo como esclavo en un ordenador limpio, y arrancando con el master, limpiar el esclavo
Los otros downloaders, mumawow, son variantes de los que ya conocemos como yahlover, que pasamos a controlar con el ELISTARA de hoy 18.82
De todas formas estos mumawow o yahlover, es posible que al lanzar el antivirus para eliminar el sality, segun el que sea, ya lo detectarán y eliminarán:
Si tiene instalado uno de los indicados, ya debería haberlo detectado (si lo tiene actualizado, claro)
saludos
ms, 15-6-2009
ref PE/Li-12.05-77.05
Como ya le indicamos, para el sality debe arrancar en modo seguro y lanzar el antivirus sobre dicho disco duro, y mejor colocandolo como esclavo en un ordenador limpio, y arrancando con el master, limpiar el esclavo
Los otros downloaders, mumawow, son variantes de los que ya conocemos como yahlover, que pasamos a controlar con el ELISTARA de hoy 18.82
De todas formas estos mumawow o yahlover, es posible que al lanzar el antivirus para eliminar el sality, segun el que sea, ya lo detectarán y eliminarán:
[quote="VirusTotal"]File SCVVHSOT.EXE.Muestra_EliStartPage received on 2009.06.15 08:39:58 (UTC)
Result: 37/40 (92.5%)
Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.06.15 Virus.Win32.KillFiles.058!IK
AhnLab-V3 5.0.0.2 2009.06.14 Win32/Mumawow.Gen
AntiVir 7.9.0.187 2009.06.15 W32/Downloader.AL
Antiy-AVL 2.0.3.1 2009.06.15 -
Authentium 5.1.2.4 2009.06.14 W32/Worm!346e
Avast 4.8.1335.0 2009.06.14 Win32:Cekar
AVG 8.5.0.339 2009.06.14 Agent.AFQU
BitDefender 7.2 2009.06.15 Win32.Worm.Sohanad.NAT
CAT-QuickHeal 10.00 2009.06.15 W32.Mumawow.D
ClamAV 0.94.1 2009.06.15 Trojan.Downloader-24124
Comodo 1333 2009.06.15 Unclassified Malware
DrWeb 5.0.0.12182 2009.06.15 Win32.HLLW.Autoruner.1268
eSafe 7.0.17.0 2009.06.11 Virus.Win32.Download
eTrust-Vet 31.6.6556 2009.06.12 Win32/Cekar.BC
F-Prot 4.4.4.56 2009.06.14 W32/Worm!346e
F-Secure 8.0.14470.0 2009.06.15 IM-Worm:W32/Sohanad.AS
Fortinet 3.117.0.0 2009.06.15 W32/KDLoader.B!tr.dldr
GData 19 2009.06.15 Win32.Worm.Sohanad.NAT
Ikarus T3.1.1.59.0 2009.06.15 Virus.Win32.KillFiles.058
Jiangmin 11.0.706 2009.06.15 Worm/Downloader.p
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.15 Virus.Win32.Downloader.aj
McAfee 5646 2009.06.14 W32/MumaWow.b!inf
McAfee+Artemis 5646 2009.06.14 W32/MumaWow.b!inf
McAfee-GW-Edition 6.7.6 2009.06.15 Win32.Downloader.AL
Microsoft 1.4701 2009.06.15 Virus:Win32/Cekar.H
NOD32 4154 2009.06.15 Win32/Mypis.AC
Norman 6.01.09 2009.06.12 W32/Mypis.gen1
nProtect 2009.1.8.0 2009.06.15 -
Panda 10.0.0.14 2009.06.14 W32/Wokaon.A
PCTools 4.4.2.0 2009.06.12 Worm.Sohanad.U
Prevx 3.0 2009.06.15 High Risk Worm
Rising 21.34.01.00 2009.06.15 Worm.Mail.Sohanad.a
Sophos 4.42.0 2009.06.15 W32/Cekar-F
Sunbelt 3.2.1858.2 2009.06.14 Trojan-Downloader.Sequan
Symantec 1.4.4.12 2009.06.15 W32.Blastclan
TheHacker 6.3.4.3.345 2009.06.13 W32/MumaWow.b
TrendMicro 8.950.0.1092 2009.06.15 PE_MUMAWOW.AE
VBA32 3.12.10.7 2009.06.14 Virus.Win32.Downloader.ax
ViRobot 2009.6.15.1786 2009.06.15 Win32.Downloader.J
Additional information
File size: 291429 bytes
MD5...: feb61d6f0e756a968217f7134018d7da
SHA1..: 41559ab5272abd2661631f35684099dd139569b9[/quote]
Si tiene instalado uno de los indicados, ya debería haberlo detectado (si lo tiene actualizado, claro)
saludos
ms, 15-6-2009
ref PE/Li-12.05-77.05
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con Sality.y
Y como que el otro lo detectan estos antivirus:
puede usar un antivirus que controle los dos (la mayoría) y desde el Master lanzarlo sobre el esclavo y asi corregirá las dos infecciones ( y otras que pudiera haber:roll: )
saludos
ms, 15-6-2009
[quote="VirusTotal"]File WINDOWS.EXE.Muestra_EliStartPage_ received on 2009.06.15 08:48:54 (UTC)
Result: 37/41 (90.25%)
Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.06.15 Email-Worm.Win32.Rays!IK
AhnLab-V3 5.0.0.2 2009.06.14 Win32/Kashu.B
AntiVir 7.9.0.187 2009.06.15 W32/Sality.Y
Antiy-AVL 2.0.3.1 2009.06.15 -
Authentium 5.1.2.4 2009.06.14 W32/Rays.A.gen!Eldorado
Avast 4.8.1335.0 2009.06.14 Win32:Sality
AVG 8.5.0.339 2009.06.14 Win32/Heur
BitDefender 7.2 2009.06.15 Win32.Sality.OG
CAT-QuickHeal 10.00 2009.06.15 W32.Sality.R
ClamAV 0.94.1 2009.06.15 Worm.Tryg
Comodo 1333 2009.06.15 -
DrWeb 5.0.0.12182 2009.06.15 Win32.Sector.5
eSafe 7.0.17.0 2009.06.11 Suspicious File
eTrust-Vet 31.6.6556 2009.06.12 Win32/Sality.AA
F-Prot 4.4.4.56 2009.06.14 W32/Rays.A.gen!Eldorado
F-Secure 8.0.14470.0 2009.06.15 Email-Worm:W32/Rays.B
Fortinet 3.117.0.0 2009.06.15 W32/Sality.AA
GData 19 2009.06.15 Win32.Sality.OG
Ikarus T3.1.1.59.0 2009.06.15 Email-Worm.Win32.Rays
Jiangmin 11.0.706 2009.06.15 Win32/HLLP.Kuku.Gen
K7AntiVirus 7.10.762 2009.06.12 Virus.Win32.Sality.AA
Kaspersky 7.0.0.125 2009.06.15 Virus.Win32.Sality.aa
McAfee 5646 2009.06.14 W32/Sality.gen
McAfee+Artemis 5646 2009.06.14 W32/Sality.gen
McAfee-GW-Edition 6.7.6 2009.06.15 Win32.Almanahe.B
Microsoft 1.4701 2009.06.15 Virus:Win32/Sality.AM
NOD32 4154 2009.06.15 Win32/Sality.NAR
Norman 6.01.09 2009.06.12 W32/Sality.AN
nProtect 2009.1.8.0 2009.06.15 -
Panda 10.0.0.14 2009.06.14 W32/Sality.AK
PCTools 4.4.2.0 2009.06.12 -
Prevx 3.0 2009.06.15 Medium Risk Malware
Rising 21.34.01.00 2009.06.15 Win32.KUKU.GEN
Sophos 4.42.0 2009.06.15 W32/Sality-AM
Sunbelt 3.2.1858.2 2009.06.14 Email-Worm.Win32.Xgtray.gen (v)
Symantec 1.4.4.12 2009.06.15 W32.Sality.AE
TheHacker 6.3.4.3.345 2009.06.13 W32/Sality.gen
TrendMicro 8.950.0.1092 2009.06.15 PE_SALITY.EN
VBA32 3.12.10.7 2009.06.14 Virus.Win32.Sality.kaka
ViRobot 2009.6.15.1786 2009.06.15 Win32.Sality.J
VirusBuster 4.6.5.0 2009.06.14 Win32.Sality.AP.Gen
Additional information
File size: 167936 bytes
MD5...: 0ed2d7d8835e20a5c8b599f5ea4e7d99
SHA1..: 2381492afc62aed6f0369d153c4271cd08b15b94[/quote]
puede usar un antivirus que controle los dos (la mayoría) y desde el Master lanzarlo sobre el esclavo y asi corregirá las dos infecciones ( y otras que pudiera haber
saludos
ms, 15-6-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
huberyauli
- Mensajes: 39
- Registrado: 23 Jun 2008, 15:49
Re: Ayuda con Sality.y
Lamentablemente no he podido iniciar en modo seguro, pero logre que mi antivirus no sea borrado, pero cada vez que quiero analizar todo el equipo este despues de un rato se reinicia.
Pero aparte de eso mi maquina se ha estabilizado pero el antivirus que tengo a cada rato me notifica sobre linkinfo.dll pero no logro borrarlo.
Pero aparte de eso mi maquina se ha estabilizado pero el antivirus que tengo a cada rato me notifica sobre linkinfo.dll pero no logro borrarlo.
Re: Ayuda con Sality.y
Pero probaste a pasar el antivirus en modo seguro poniendo tu pc como disco exclavo de otro pc limpio? No obstante descarga elistara y pasalo pues Msc te indica que uno de ellos ya lo controla la ultima version de elistara. Nos pegas el log que te dejara en C infosat.txt saludos
http://www.zonavirus.com/descargas/elistara.asp
-
huberyauli
- Mensajes: 39
- Registrado: 23 Jun 2008, 15:49
Re: Ayuda con Sality.y
Le pase la utilidad que me dijeron, les dejo el informe:
(16-6-2009 21:31:20)
EliStartPage v18.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(16-6-2009 21:31:25)
EliStartPage v18.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 7503
Nº Total de Ficheros: 98950
Nº de Ficheros Analizados: 22357
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Un amigo me recomendo el McAfee(R) Rootkit Detective no se si les sirva, le dejo su reporte :
McAfee(R) Rootkit Detective 1.1 scan report
On 16-06-2009 at 15:51:38
OS-Version 5.1.2600
Service Pack 3.0
====================================
Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwCreatePagingFile
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwQueryDirectoryFile
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwSaveKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwSetSystemPowerState
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: (NULL)
Object-Type: Registry-value
Object-Name: start
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: type
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: imagepath
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv
Status: Hidden
Object-Type: Registry-key
Object-Name: NwlnkFltontrolSet002\Services\TDSSserv
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NwlnkFlt
Status: Hidden
Object-Type: Registry-value
Object-Name: start
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: type
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: imagepath
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv
Status: Hidden
Object-Type: Registry-key
Object-Name: NwlnkFltontrolSet003\Services\TDSSserv
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\NwlnkFlt
Status: Hidden
Object-Type: Registry-key
Object-Name: EnumEM\ControlSet004\Services\NwlnkFlt
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv\Enum
Status: Hidden
Object-Type: Registry-value
Object-Name: start
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: type
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: imagepath
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-key
Object-Name: NwlnkFltontrolSet004\Services\TDSSserv
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\NwlnkFlt
Status: Hidden
Object-Type: Registry-key
Object-Name: EnumEM\ControlSet004\Services\NwlnkFlt
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv\Enum
Status: Hidden
Object-Type: Registry-value
Object-Name: start
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: type
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: imagepath
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-key
Object-Name: DataEM\ControlSet004\Services\TDSSserv
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data
Status: Hidden
Object-Type: Registry-key
Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden
Object-Type: Registry-key
Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden
Object-Type: Registry-key
Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden
Object-Type: Registry-value
Object-Name: Item Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden
Object-Type: Registry-key
Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Status: Hidden
Object-Type: Registry-key
Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: Value
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}
Status: Registy value-data mismatch
Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: sched.exe
Pid: 1488
Object-Path: C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
Status: Visible
Object-Type: Process
Object-Name: cidaemon.exe
Pid: 3844
Object-Path: C:\WINDOWS\SYSTEM32\cidaemon.exe
Status: Visible
Object-Type: Process
Object-Name: csrss.exe
Pid: 528
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible
Object-Type: File/Folder
Object-Name: Autorun.inf
Pid: n/a
Object-Path: C:\Autorun.inf
Status: Hidden
Object-Type: Process
Object-Name: svchost.exe
Pid: 840
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: WINWORD.EXE
Pid: 1088
Object-Path: C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
Status: Visible
Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: cisvc.exe
Pid: 1928
Object-Path: C:\WINDOWS\system32\cisvc.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1712
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: avgnt.exe
Pid: 1836
Object-Path: C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
Status: Visible
Object-Type: Process
Object-Name: smss.exe
Pid: 472
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible
Object-Type: Process
Object-Name: services.exe
Pid: 596
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible
Object-Type: File/Folder
Object-Name: catalog.wci
Pid: n/a
Object-Path: C:\System Volume Information\catalog.wci
Status: Hidden
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\$NtUninstallKB900725$\linkinfo.dll
Status: Hidden
Object-Type: File/Folder
Object-Name: Autorun.inf
Pid: n/a
Object-Path: C:\Documents and Settings\ELECTRO CONTROL\Escritorio\Actrix\Autorun.inf
Status: Hidden
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\$hf_mig$\KB900725\SP2QFE\linkinfo.dll
Status: Hidden
Object-Type: Process
Object-Name: svchost.exe
Pid: 908
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1280
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 352
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: avguard.exe
Pid: 1872
Object-Path: C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
Status: Visible
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\system32\linkinfo.dll
Status: Hidden
Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 3424
Object-Path: C:\Documents and Settings\ELECTRO CONTROL\Escritorio\McafeeRootkitDetective\Rootkit_Detective.exe
Status: Visible
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\$NtServicePackUninstall$\linkinfo.dll
Status: Hidden
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\linkinfo.dll
Status: Hidden
Object-Type: Process
Object-Name: ctfmon.exe
Pid: 1876
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible
Object-Type: Process
Object-Name: usnsvc.exe
Pid: 884
Object-Path: C:\Archivos de programa\MSN Messenger\usnsvc.exe
Status: Visible
Object-Type: Process
Object-Name: firefox.exe
Pid: 1132
Object-Path: C:\Archivos de programa\Mozilla Firefox\firefox.exe
Status: Visible
Object-Type: Process
Object-Name: cidaemon.exe
Pid: 3240
Object-Path: C:\WINDOWS\SYSTEM32\cidaemon.exe
Status: Visible
Object-Type: Process
Object-Name: MDM.EXE
Pid: 172
Object-Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 792
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: explorer.exe
Pid: 1320
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible
Object-Type: Process
Object-Name: msnmsgr.exe
Pid: 3676
Object-Path: C:\Archivos de programa\MSN Messenger\msnmsgr.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 948
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1104
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\ServicePackFiles\i386\linkinfo.dll
Status: Hidden
Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1448
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible
Object-Type: Process
Object-Name: winlogon.exe
Pid: 552
Object-Path: C:\WINDOWS\SYSTEM32\winlogon.exe
Status: Visible
Object-Type: Process
Object-Name: E_S40RP7.EXE
Pid: 1948
Object-Path: C:\Documents and Settings\All Users\Datos de programa\EPSON\EPW!3 SSRP\E_S40RP7.EXE
Status: Visible
Object-Type: Process
Object-Name: lsass.exe
Pid: 616
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible
Object-Type: File/Folder
Object-Name: nvmini.sys
Pid: n/a
Object-Path: C:\WINDOWS\system32\drivers\nvmini.sys
Status: Hidden
Scan complete. Found hidden Processes and Files: 10 .
Total files scanned: 99599
(16-6-2009 21:31:20)
EliStartPage v18.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(16-6-2009 21:31:25)
EliStartPage v18.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 7503
Nº Total de Ficheros: 98950
Nº de Ficheros Analizados: 22357
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Un amigo me recomendo el McAfee(R) Rootkit Detective no se si les sirva, le dejo su reporte :
McAfee(R) Rootkit Detective 1.1 scan report
On 16-06-2009 at 15:51:38
OS-Version 5.1.2600
Service Pack 3.0
====================================
Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwCreatePagingFile
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwQueryDirectoryFile
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwSaveKey
Object-Path: (NULL)
Object-Type: SSDT-hook
Object-Name: ZwSetSystemPowerState
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys
Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: (NULL)
Object-Type: Registry-value
Object-Name: start
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: type
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: imagepath
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv
Status: Hidden
Object-Type: Registry-key
Object-Name: NwlnkFltontrolSet002\Services\TDSSserv
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NwlnkFlt
Status: Hidden
Object-Type: Registry-value
Object-Name: start
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: type
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: imagepath
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv
Status: Hidden
Object-Type: Registry-key
Object-Name: NwlnkFltontrolSet003\Services\TDSSserv
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\NwlnkFlt
Status: Hidden
Object-Type: Registry-key
Object-Name: EnumEM\ControlSet004\Services\NwlnkFlt
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv\Enum
Status: Hidden
Object-Type: Registry-value
Object-Name: start
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: type
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: imagepath
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-key
Object-Name: NwlnkFltontrolSet004\Services\TDSSserv
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\NwlnkFlt
Status: Hidden
Object-Type: Registry-key
Object-Name: EnumEM\ControlSet004\Services\NwlnkFlt
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv\Enum
Status: Hidden
Object-Type: Registry-value
Object-Name: start
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: type
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-value
Object-Name: imagepath
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv
Status: Hidden
Object-Type: Registry-key
Object-Name: DataEM\ControlSet004\Services\TDSSserv
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data
Status: Hidden
Object-Type: Registry-key
Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden
Object-Type: Registry-key
Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden
Object-Type: Registry-key
Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden
Object-Type: Registry-value
Object-Name: Item Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden
Object-Type: Registry-key
Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Status: Hidden
Object-Type: Registry-key
Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: Value
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}
Status: Registy value-data mismatch
Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: sched.exe
Pid: 1488
Object-Path: C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
Status: Visible
Object-Type: Process
Object-Name: cidaemon.exe
Pid: 3844
Object-Path: C:\WINDOWS\SYSTEM32\cidaemon.exe
Status: Visible
Object-Type: Process
Object-Name: csrss.exe
Pid: 528
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible
Object-Type: File/Folder
Object-Name: Autorun.inf
Pid: n/a
Object-Path: C:\Autorun.inf
Status: Hidden
Object-Type: Process
Object-Name: svchost.exe
Pid: 840
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: WINWORD.EXE
Pid: 1088
Object-Path: C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
Status: Visible
Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: cisvc.exe
Pid: 1928
Object-Path: C:\WINDOWS\system32\cisvc.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1712
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: avgnt.exe
Pid: 1836
Object-Path: C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
Status: Visible
Object-Type: Process
Object-Name: smss.exe
Pid: 472
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible
Object-Type: Process
Object-Name: services.exe
Pid: 596
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible
Object-Type: File/Folder
Object-Name: catalog.wci
Pid: n/a
Object-Path: C:\System Volume Information\catalog.wci
Status: Hidden
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\$NtUninstallKB900725$\linkinfo.dll
Status: Hidden
Object-Type: File/Folder
Object-Name: Autorun.inf
Pid: n/a
Object-Path: C:\Documents and Settings\ELECTRO CONTROL\Escritorio\Actrix\Autorun.inf
Status: Hidden
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\$hf_mig$\KB900725\SP2QFE\linkinfo.dll
Status: Hidden
Object-Type: Process
Object-Name: svchost.exe
Pid: 908
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1280
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 352
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: avguard.exe
Pid: 1872
Object-Path: C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
Status: Visible
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\system32\linkinfo.dll
Status: Hidden
Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 3424
Object-Path: C:\Documents and Settings\ELECTRO CONTROL\Escritorio\McafeeRootkitDetective\Rootkit_Detective.exe
Status: Visible
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\$NtServicePackUninstall$\linkinfo.dll
Status: Hidden
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\linkinfo.dll
Status: Hidden
Object-Type: Process
Object-Name: ctfmon.exe
Pid: 1876
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible
Object-Type: Process
Object-Name: usnsvc.exe
Pid: 884
Object-Path: C:\Archivos de programa\MSN Messenger\usnsvc.exe
Status: Visible
Object-Type: Process
Object-Name: firefox.exe
Pid: 1132
Object-Path: C:\Archivos de programa\Mozilla Firefox\firefox.exe
Status: Visible
Object-Type: Process
Object-Name: cidaemon.exe
Pid: 3240
Object-Path: C:\WINDOWS\SYSTEM32\cidaemon.exe
Status: Visible
Object-Type: Process
Object-Name: MDM.EXE
Pid: 172
Object-Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 792
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: explorer.exe
Pid: 1320
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible
Object-Type: Process
Object-Name: msnmsgr.exe
Pid: 3676
Object-Path: C:\Archivos de programa\MSN Messenger\msnmsgr.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 948
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1104
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: File/Folder
Object-Name: linkinfo.dll
Pid: n/a
Object-Path: C:\WINDOWS\ServicePackFiles\i386\linkinfo.dll
Status: Hidden
Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1448
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible
Object-Type: Process
Object-Name: winlogon.exe
Pid: 552
Object-Path: C:\WINDOWS\SYSTEM32\winlogon.exe
Status: Visible
Object-Type: Process
Object-Name: E_S40RP7.EXE
Pid: 1948
Object-Path: C:\Documents and Settings\All Users\Datos de programa\EPSON\EPW!3 SSRP\E_S40RP7.EXE
Status: Visible
Object-Type: Process
Object-Name: lsass.exe
Pid: 616
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible
Object-Type: File/Folder
Object-Name: nvmini.sys
Pid: n/a
Object-Path: C:\WINDOWS\system32\drivers\nvmini.sys
Status: Hidden
Scan complete. Found hidden Processes and Files: 10 .
Total files scanned: 99599
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con Sality.y
Efectivamente, el McAfee Rootkit detective indica que estos 10 ficheros estan ejecutandose en proceso oculto:
C:\Autorun.inf
C:\System Volume Information\catalog.wci
C:\WINDOWS\$NtUninstallKB900725$\linkinfo.dll
C:\Documents and Settings\ELECTRO CONTROL\Escritorio\Actrix\Autorun.inf
C:\WINDOWS\$hf_mig$\KB900725\SP2QFE\linkinfo.dll
C:\WINDOWS\system32\linkinfo.dll
C:\WINDOWS\$NtServicePackUninstall$\linkinfo.dll
C:\WINDOWS\linkinfo.dll
C:\WINDOWS\ServicePackFiles\i386\linkinfo.dll
C:\WINDOWS\system32\drivers\nvmini.sys
y fijarse que uno de ellos, el linkinfo.dll lo ejecuta desde muchas carpetas, si quieres envianos cualquiera de ellos para analizar, por ejemplo este que te será facil:
C:\WINDOWS\linkinfo.dll
ya que supongo que todos serán iguales ...
y envianos tambien estos otros :
C:\WINDOWS\system32\drivers\nvmini.sys
C:\Autorun.inf
C:\System Volume Information\catalog.wci
y a todos los que hemos indicado, les añade la extension .VIR, lo cual si no puede hacerlo normalmente, pruebe el ELIMOVER marcando la casilla inferior izquierda de su ventana principal.
ELIMOVER
http://www.zonavirus.com/descargas/elimover.asp
y vacuna tu ordenador con el ELIPEN, ya que parece que te ronda un virus de pendrive:
vacune todas sus unidades de disco y pendrive con el ELIPEN:
[b]ELIPEN.EXE[/b]
http://www.zonavirus.com/descargas/elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y muy buena idea la de su amigo, el McAfee Rootkit detective es una buena herramienta que usamos cuando pensamos en algun rootkit, aunque inicialmente no viniera al caso en su Tema, ya que solo hablaba del Sality y del yahlover, pero siempre pude haber uno mas, y en este caso en proceso oculto !!!
Vemos que luego lo ha mencionado en lo de que "el antivirus que tengo a cada rato me notifica sobre linkinfo.dll pero no logro borrarlo."
sobre ello vemos esta descripcion de McAFee:
Overview -
W32/Almanahe.c is a polymorphic parasitic worm that infects Win32 executable files (*.exe) that can also download and execute additional malware.
Characteristics
Characteristics -
W32/Almanahe.c is a polymorphic parasitic worm that infects Win32 executable files (*.exe) that can also download and execute additional malware.
Upon execution, it drops the following file(s):
•%Windir%\linkinfo.dll (W32/Almanahe.dll)
•%Windir%\System32\drivers\nvmini.sys (W32/Almanahe.sys)
•%Windir%\System32\drivers\IsDrv118.sys (W32/Almanahe.sys)
•C:\boot.exe (W32/Almanahe)
(Where %Windir% is the Windows folder; e.g. C:\Windows. A legitimate copy of linkinfo.dll usually resides in %Windir%\system32\linkinfo.dll)
These files are hidden by the rootkit component (W32/Almanahe.sys). It follows that the .DLL file is injected into the running process of Windows Explorer (Explorer.exe) and the .SYS file is installed as a service and creating the following registry key(s):
•HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RioDrvs\"ImagePath" = "system32\drivers\nvmini.sys"
•HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RioDrvs\"DisplayName" = "nvmini"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\RioDrvs\"ImagePath" = "system32\drivers\nvmini.sys"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\RioDrvs\"DisplayName" = "nvmini"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS\0000\Control\"ActiveService" = "nvmini"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS\0000\"Service" = "nvmini"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS\0000\Control\"ActiveService" = "nvmini"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS\0000\"Service" = "nvmini"
It can contact the following site(s) to notify malware owner, receive instructions and download further malware:
•kr.sb941.com
•k.sb941.com
•info.sb941.com
•down.91tg.net
Other generic characteristics of the W32/Almanahe virus at:
•http://vil.nai.com/vil/content/v_142021.htm
Symptoms
Symptoms -
•Presence of the files and registry keys mentioned.
•Increase in file size in existing executable files.
•Unexpected network connections to the mentioned site(s).
•Unexpected access to network shared folders.
Method of Infection
Method of Infection -
W32/Almanahe.c is a polymorphic parasitic worm that propagates by infecting Win32 executable files (*.exe) on local, removable drives and network shares.
Removal -
Removal -
VirusScan Users
Use the latest engine and DAT files for detection.
Due to the nature in which this virus operates once a machine is successfully infected, read-access to the DLL and SYS components of the virus may be denied.
VirusScan 11.x and VirusScan Enterprise 8.5 or newer can detect and remove these rootkit-protected components directly.
Older versions of VirusScan will not be able to detect these files in this case. Because of this, if a machine is suspected to be infected, users can follow the procedure below:
1.Reboot the system into Safe Mode (hit the F8 key as soon as the Starting Windows text is displayed, choose Safe Mode.
2.Run a system scan using the specified engine/DATs.
3.Clean files flagged as infected
4.Restart machine in default mode.
Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).
Additional Windows ME/XP removal considerations
Variants
Variants -
•W32/Almanahe.a
•W32/Almanahe.b
Pues vaya un bicho con el que se ha infectado... Ademas de infector de ejecutables, ROOTKIT, pues quien da mas ??? ...
[b]HAGALO TODO ARRANCANDO EN MODO SEGURO CON FUNCIONES DE RED, ES MUY IMPORTANTE EN SU CASO PARA QUE NO SE ACTIVE EL ROOTKIT !!! [/b]
Envienos las muestras indicadas y tras analizarlas, informaremos
saludos
ms, 17-6-2009
NOTA:
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
ms.
C:\Autorun.inf
C:\System Volume Information\catalog.wci
C:\WINDOWS\$NtUninstallKB900725$\linkinfo.dll
C:\Documents and Settings\ELECTRO CONTROL\Escritorio\Actrix\Autorun.inf
C:\WINDOWS\$hf_mig$\KB900725\SP2QFE\linkinfo.dll
C:\WINDOWS\system32\linkinfo.dll
C:\WINDOWS\$NtServicePackUninstall$\linkinfo.dll
C:\WINDOWS\linkinfo.dll
C:\WINDOWS\ServicePackFiles\i386\linkinfo.dll
C:\WINDOWS\system32\drivers\nvmini.sys
y fijarse que uno de ellos, el linkinfo.dll lo ejecuta desde muchas carpetas, si quieres envianos cualquiera de ellos para analizar, por ejemplo este que te será facil:
C:\WINDOWS\linkinfo.dll
ya que supongo que todos serán iguales ...
y envianos tambien estos otros :
C:\WINDOWS\system32\drivers\nvmini.sys
C:\Autorun.inf
C:\System Volume Information\catalog.wci
y a todos los que hemos indicado, les añade la extension .VIR, lo cual si no puede hacerlo normalmente, pruebe el ELIMOVER marcando la casilla inferior izquierda de su ventana principal.
ELIMOVER
y vacuna tu ordenador con el ELIPEN, ya que parece que te ronda un virus de pendrive:
vacune todas sus unidades de disco y pendrive con el ELIPEN:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y muy buena idea la de su amigo, el McAfee Rootkit detective es una buena herramienta que usamos cuando pensamos en algun rootkit, aunque inicialmente no viniera al caso en su Tema, ya que solo hablaba del Sality y del yahlover, pero siempre pude haber uno mas, y en este caso en proceso oculto !!!
Vemos que luego lo ha mencionado en lo de que "el antivirus que tengo a cada rato me notifica sobre linkinfo.dll pero no logro borrarlo."
sobre ello vemos esta descripcion de McAFee:
Overview -
W32/Almanahe.c is a polymorphic parasitic worm that infects Win32 executable files (*.exe) that can also download and execute additional malware.
Characteristics
Characteristics -
W32/Almanahe.c is a polymorphic parasitic worm that infects Win32 executable files (*.exe) that can also download and execute additional malware.
Upon execution, it drops the following file(s):
•%Windir%\linkinfo.dll (W32/Almanahe.dll)
•%Windir%\System32\drivers\nvmini.sys (W32/Almanahe.sys)
•%Windir%\System32\drivers\IsDrv118.sys (W32/Almanahe.sys)
•C:\boot.exe (W32/Almanahe)
(Where %Windir% is the Windows folder; e.g. C:\Windows. A legitimate copy of linkinfo.dll usually resides in %Windir%\system32\linkinfo.dll)
These files are hidden by the rootkit component (W32/Almanahe.sys). It follows that the .DLL file is injected into the running process of Windows Explorer (Explorer.exe) and the .SYS file is installed as a service and creating the following registry key(s):
•HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RioDrvs\"ImagePath" = "system32\drivers\nvmini.sys"
•HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RioDrvs\"DisplayName" = "nvmini"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\RioDrvs\"ImagePath" = "system32\drivers\nvmini.sys"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\RioDrvs\"DisplayName" = "nvmini"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS\0000\Control\"ActiveService" = "nvmini"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS\0000\"Service" = "nvmini"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS\0000\Control\"ActiveService" = "nvmini"
•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS\0000\"Service" = "nvmini"
It can contact the following site(s) to notify malware owner, receive instructions and download further malware:
•kr.sb941.com
•k.sb941.com
•info.sb941.com
•down.91tg.net
Other generic characteristics of the W32/Almanahe virus at:
•
Symptoms
Symptoms -
•Presence of the files and registry keys mentioned.
•Increase in file size in existing executable files.
•Unexpected network connections to the mentioned site(s).
•Unexpected access to network shared folders.
Method of Infection
Method of Infection -
W32/Almanahe.c is a polymorphic parasitic worm that propagates by infecting Win32 executable files (*.exe) on local, removable drives and network shares.
Removal -
Removal -
VirusScan Users
Use the latest engine and DAT files for detection.
Due to the nature in which this virus operates once a machine is successfully infected, read-access to the DLL and SYS components of the virus may be denied.
VirusScan 11.x and VirusScan Enterprise 8.5 or newer can detect and remove these rootkit-protected components directly.
Older versions of VirusScan will not be able to detect these files in this case. Because of this, if a machine is suspected to be infected, users can follow the procedure below:
1.Reboot the system into Safe Mode (hit the F8 key as soon as the Starting Windows text is displayed, choose Safe Mode.
2.Run a system scan using the specified engine/DATs.
3.Clean files flagged as infected
4.Restart machine in default mode.
Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).
Additional Windows ME/XP removal considerations
Variants
Variants -
•W32/Almanahe.a
•W32/Almanahe.b
Pues vaya un bicho con el que se ha infectado... Ademas de infector de ejecutables, ROOTKIT, pues quien da mas ??? ...
Envienos las muestras indicadas y tras analizarlas, informaremos
saludos
ms, 17-6-2009
NOTA:
Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
huberyauli
- Mensajes: 39
- Registrado: 23 Jun 2008, 15:49
Re: Ayuda con Sality.y
Les dejo el informe requerido:
(16-6-2009 21:31:20)
EliStartPage v18.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(16-6-2009 21:31:25)
EliStartPage v18.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 7503
Nº Total de Ficheros: 98950
Nº de Ficheros Analizados: 22357
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(17-6-2009 21:33:50)
EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.
------------------------------------------
Unidad C:\ Protegida
Detectado D:\Autorun.inf
OPEN=EPSETUP.EXE
D:\Autorun.inf -> Renombrado a .OLD
Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger
Detectado E:\Autorun.inf
OPEN=PST_LAUNCH.EXE
E:\Autorun.inf -> Renombrado a .OLD
Unidad E:\ Protegida
Unidad F:\ YA esta Protegida
Error Creando TEST2.SAT
Unidad G:\ No se Pudo Proteger
Detectado J:\Autorun.inf
OPEN=9DLVTIIL.EXE
J:\Autorun.inf -> Renombrado a .OLD
Unidad J:\ Protegida
(16-6-2009 21:31:20)
EliStartPage v18.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(16-6-2009 21:31:25)
EliStartPage v18.83 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Junio del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 7503
Nº Total de Ficheros: 98950
Nº de Ficheros Analizados: 22357
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(17-6-2009 21:33:50)
EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.
------------------------------------------
Unidad C:\ Protegida
Detectado D:\Autorun.inf
OPEN=EPSETUP.EXE
D:\Autorun.inf -> Renombrado a .OLD
Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger
Detectado E:\Autorun.inf
OPEN=PST_LAUNCH.EXE
E:\Autorun.inf -> Renombrado a .OLD
Unidad E:\ Protegida
Unidad F:\ YA esta Protegida
Error Creando TEST2.SAT
Unidad G:\ No se Pudo Proteger
Detectado J:\Autorun.inf
OPEN=9DLVTIIL.EXE
J:\Autorun.inf -> Renombrado a .OLD
Unidad J:\ Protegida
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con Sality.y
Aparte de lo que ya le hemos pedido, vemos que hay varios AUTORUN.INF, si bien este otro debe ser un CDROM, ya que no ha podido crear la proteccion, asi que es normal que haya un AUTORUN.INF , este dejalo estar:
Detectado D:\Autorun.inf
OPEN=EPSETUP.EXE
D:\Autorun.inf -> Renombrado a .OLD
Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger
Pero los otros son muy sospechosos:
Detectado E:\Autorun.inf
OPEN=PST_LAUNCH.EXE
E:\Autorun.inf -> Renombrado a .OLD
Detectado J:\Autorun.inf
OPEN=9DLVTIIL.EXE
J:\Autorun.inf -> Renombrado a .OLD
Por ello te pedimos nos envies estos dos ficheros que lanzan:
E:\PST_LAUNCH.EXE
J:\9DLVTIIL.EXE
y los correspondientes AUTORUN.INF.OLD de E: y J: (cambiales el nombre a AUTORUNE y AUTORUNJ para que no se machaquen)
Cuando los hayamos recibido, implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 18-6-2009
Detectado D:\Autorun.inf
OPEN=EPSETUP.EXE
D:\Autorun.inf -> Renombrado a .OLD
Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger
Pero los otros son muy sospechosos:
Detectado E:\Autorun.inf
OPEN=PST_LAUNCH.EXE
E:\Autorun.inf -> Renombrado a .OLD
Detectado J:\Autorun.inf
OPEN=9DLVTIIL.EXE
J:\Autorun.inf -> Renombrado a .OLD
Por ello te pedimos nos envies estos dos ficheros que lanzan:
E:\PST_LAUNCH.EXE
J:\9DLVTIIL.EXE
y los correspondientes AUTORUN.INF.OLD de E: y J: (cambiales el nombre a AUTORUNE y AUTORUNJ para que no se machaquen)
Cuando los hayamos recibido, implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 18-6-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con Sality.y
Revisando el Tema vemos que aun no ha enviado los ficheros pedidos...
Sin ellos no podemos hacer mas
Hoy terminamos a las 15 h, si nos los envia, seguiremos con ellas el lunes.
saludos
ms, 19-6-2009
Sin ellos no podemos hacer mas
Hoy terminamos a las 15 h, si nos los envia, seguiremos con ellas el lunes.
saludos
ms, 19-6-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
huberyauli
- Mensajes: 39
- Registrado: 23 Jun 2008, 15:49
Re: Ayuda con Sality.y
Disculpen la demora pero estaba ocupado, procedi con el envio de los autorune y autorunj pero no pude encontrar estos dos ficheros:
E:\PST_LAUNCH.EXE
J:\9DLVTIIL.EXE
pero el primero era un programa de Rockwell automation que es el listado de componentes el otro si no se que era.
E:\PST_LAUNCH.EXE
J:\9DLVTIIL.EXE
pero el primero era un programa de Rockwell automation que es el listado de componentes el otro si no se que era.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con Sality.y
Fijate en la unidad, inserta el drive si es extraible, y prueba con el ELIMOVER mocer el fichero a C:\nuestras, desde donde poder enviarnoslo sin problemas, pues ya no tendrá atributos ni privilegios
ELIMOVER
http://www.zonavirus.com/descargas/elimover.asp
saludos
ms, 19-6-2009
ELIMOVER
saludos
ms, 19-6-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
huberyauli
- Mensajes: 39
- Registrado: 23 Jun 2008, 15:49
Re: Ayuda con Sality.y
Listo porfin pude enviar los documentos solicitados, ahora esperar hasta el lunes.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con Sality.y
Si quieres, mientras, subelos al VirusTotal y posteanos los dos informes resultantes:
www.virustotal.com/es
Asi veremos si los detectan como malwares.
saludos
ms, 21-6-2009
Asi veremos si los detectan como malwares.
saludos
ms, 21-6-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con Sality.y
Recibidas las muestras:
Uno de los AUTORUN.INF lanza el fichero 9dlvtiil.exe del que nos envia muestra y que una vez analizado resulta ser un ONLINE GAMES que pasamos a controlar a partir del ELISTARA de hoy 18.87
Pero el otro AUTORUN.INF llama a un fichero PST_Launch.exe que si no nos envian no podemos controlarlo
Mire de localizar este otro fichero, copiarlo a C:\muestras con el ELIMOVER y una vez allí enviarnoslo para analizar y controlar
DESCARGA DE ELIMOVER
http://www.zonavirus.com/descargas/elimover.asp
Posiblemente estará en algun pendrive.
Puede mirar de copiarlo a C:\muestras entrando en el ELIMOVER E:\PST_Launch.exe , suponiendo que la E: fuera la unidad de CDROM, y sino poner la que corresponda.
Si no fuera un pendrive sino una unidad de CDROM dejelo estar, pues es donde debe estar y en tal caso no se trataría necesariamente de un malware.
saludos
ms, 22-6-2009
Uno de los AUTORUN.INF lanza el fichero 9dlvtiil.exe del que nos envia muestra y que una vez analizado resulta ser un ONLINE GAMES que pasamos a controlar a partir del ELISTARA de hoy 18.87
Pero el otro AUTORUN.INF llama a un fichero PST_Launch.exe que si no nos envian no podemos controlarlo
Mire de localizar este otro fichero, copiarlo a C:\muestras con el ELIMOVER y una vez allí enviarnoslo para analizar y controlar
DESCARGA DE ELIMOVER
Posiblemente estará en algun pendrive.
Puede mirar de copiarlo a C:\muestras entrando en el ELIMOVER E:\PST_Launch.exe , suponiendo que la E: fuera la unidad de CDROM, y sino poner la que corresponda.
Si no fuera un pendrive sino una unidad de CDROM dejelo estar, pues es donde debe estar y en tal caso no se trataría necesariamente de un malware.
saludos
ms, 22-6-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
huberyauli
- Mensajes: 39
- Registrado: 23 Jun 2008, 15:49
Re: Ayuda con Sality.y
Intente buscar ese fichero, pero igual no lo encuentra, aparte de eso mi computadora esta bien, asi que creo que podemos dar por resuelto el problema.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ayuda con Sality.y
Como le he dicho, puede que estuviera en un CD, pues no sé lo que es esta unidad E:, pero la J: seguro que es una unidad externa USB, y en este tiene un trotano, asi que pasele la nueva version de hoy del ELISTARA 18.87:
A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus
aunque ya con el ELIPEN ha quedado capado, al haberle eliminado el lanzado, AUTORUN.INF.
Y siguiendo sus indicaciones, damos el Tema por solucionado y procedemos a cverrarlo
saludos
ms, 22-2-2009
[quote][b]ELISTARA:[/b] http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]
A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus
aunque ya con el ELIPEN ha quedado capado, al haberle eliminado el lanzado, AUTORUN.INF.
Y siguiendo sus indicaciones, damos el Tema por solucionado y procedemos a cverrarlo
saludos
ms, 22-2-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online