Quise abrir un tema pero pensé que a la hora de enviar la muestra sería un doble post. Así que intenté hacerlo junto y parece que no me quedó bien. No encontré el archivo wauclt.exe antes mencionado.El problema es que este archovo está en mi memoria USB que fue infectada en otro ordenador. No sé que tipo de virus tendrá ese ordenador que a todas las memorias insertadas, se les copia el autorun. El nod32 no pude hacer nada para neutralizarlo.
Espero su ayuda.
Saludos.
Aparición del autorun (SOLUCIONADO)
Re: Aparición del autorun
Bájate las siguiente utilidad:
[b][url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url] [/b]
La ejecutas y cuando termine abres el archivo[b]c:\infosat.txt[/b]
Además vacuna tu memoria usb con el[b][url=http://www.zonavirus.com/descargas/elipen.asp]Elipen[/url] [/b]
para que no vuelva a infectarse.
La ejecutas y cuando termine abres el archivo
Además vacuna tu memoria usb con el
para que no vuelva a infectarse.
Saludos.
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Aparición del autorun
Ya te indiqué en el anterior Tema que podía ser por este virus:
http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=7233
De todas formas, depende de la variante que sea ya lo controlamos con el ELISTARA, asi que tras probar las utilidades que te indica julibaga, posteanos el informe resultante y veremos si lo detecta o sino con el ELIMOVER habremos de buscar el wauclt.exe donde quiera que esté, y enviarnoslo para analizar y controlar.
saludos
ms, 15-7-2009
NOTA: Para saber la carpeta donde está, posteanos log del SPROCES, ya que ahi veremos esta clave que nos lo dirá:
Clave:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Valor:"Shell" = "Explorer.exe :[b][i][u]"%CurrentFolder%[/u] [/i] [/b]
lo analizaremos e informaremos al respecto.
ms.
De todas formas, depende de la variante que sea ya lo controlamos con el ELISTARA, asi que tras probar las utilidades que te indica julibaga, posteanos el informe resultante y veremos si lo detecta o sino con el ELIMOVER habremos de buscar el wauclt.exe donde quiera que esté, y enviarnoslo para analizar y controlar.
saludos
ms, 15-7-2009
NOTA: Para saber la carpeta donde está, posteanos log del SPROCES, ya que ahi veremos esta clave que nos lo dirá:
Clave:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Valor:"Shell" = "Explorer.exe :
[quote="msc escribió"][b]SPROCES.EXE(herramienta de investigación) [/b] http://www.zonavirus.com/descargas/sproces.asp
Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT[/quote]
lo analizaremos e informaremos al respecto.
ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Aparición del autorun
Aquí esta el Infostat
(16-7-2009 1:47:47) (GMT)
EliTriIP v5.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v5.96
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Acceso Denegado.
Eliminado Servicio, "Monitor"
Eliminado Servicio, "SCardSvr"
Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1www.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com
Reinicie para Completar la Limpieza.
(16-7-2009 1:48:02) (GMT)
EliTriIP v5.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "I:\"
Nº Total de Directorios: 3
Nº Total de Ficheros: 44
Nº de Ficheros Analizados: 3
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(16-7-2009 1:48:09) (GMT)
EliTriIP v5.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "D:\"
Nº Total de Directorios: 754
Nº Total de Ficheros: 13380
Nº de Ficheros Analizados: 1955
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(16-7-2009 1:49:07) (GMT)
EliTriIP v5.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 20209
Nº Total de Ficheros: 125664
Nº de Ficheros Analizados: 29810
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Este es el log
(16-7-2009 02:01:05 GMT)
SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Windows 7 Ultimate (v6.1.7100)
Parche MS08-067 (Servicio Servidor) NO Instalado.
Internet Explorer: (v8.0.7100.0) 0
Nombre Equipo:
Nombre Usuario:
Procesos Activos:
C:\PROGRAM FILES (X86)\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES (X86)\DNA\BTDNA.EXE
C:\PROGRAM FILES (X86)\BITTORRENT\BITTORRENT.EXE
C:\PROGRAM FILES (X86)\SKYPE\PHONE\SKYPE.EXE
C:\PROGRAM FILES (X86)\ELECTRONIC ARTS\EADM\CORE.EXE
C:\PROGRAM FILES (X86)\EMULE\EMULE.EXE
C:\PROGRAM FILES (X86)\FARSTONE\VIRTUALDRIVE\VHD\RDTASK.EXE
C:\PROGRAM FILES (X86)\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES (X86)\FARSTONE\VIRTUALDRIVE\VDTASK.EXE
C:\USERS\RAúL ANTONIO\APPDATA\LOCAL\GOOGLE\UPDATE\1.2.183.7\GOOGLECRASHHANDLER.EXE
C:\PROGRAM FILES (X86)\CYBERLINK\POWERDVD\PDVDSERV.EXE
C:\PROGRAM FILES (X86)\COMMON FILES\INSTALLSHIELD\UPDATESERVICE\ISSCH.EXE
C:\PROGRAM FILES (X86)\WINDOWS LIVE\CONTACTS\WLCOMM.EXE
C:\PROGRAM FILES (X86)\WINAMP\WINAMP.EXE
C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\WINWORD.EXE
C:\PROGRAM FILES (X86)\MICROSOFT\OFFICE LIVE\OFFICELIVESIGNIN.EXE
C:\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.EXE
C:\USERS\RAúL ANTONIO\DOWNLOADS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=explorer.exe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files (x86)\DNA\btdna.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files (x86)\BitTorrent\bittorrent.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [Google Update] "C:\Users\Raúl Antonio\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files (x86)\eMule\emule.exe -AutoStart
O4 - HKLM\..\Run: [RAMDrive] "C:\Program Files (x86)\FarStone\VirtualDrive\VHD\RDTask.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [VirtualDrive] "C:\Program Files (x86)\FarStone\VirtualDrive\VDTask.exe" /AutoRestore
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files (x86)\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files (x86)\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\Raúl Antonio\Downloads\EliTriIP.exe
O4 - Startup: desktop.ini
O4 - Startup: Registro de FIFA 09.lnk
O4 - Global Startup: desktop.ini
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: NULL2
O17 - HKLM\System\CCS\Services\Tcpip\..\{61822899-78C6-4FBD-9C3C-45283C359191}: NameServer = 200.48.225.130,200.48.225.146
O18 - Protocol hijack: about - (no CLSID) - (no file)
O18 - Protocol hijack: dvd - (no CLSID) - (no file)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol hijack: its - (no CLSID) - (no file)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol hijack: mhtml - (no CLSID) - (no file)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol hijack: ms-its - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol hijack: tv - (no CLSID) - (no file)
O18 - Protocol hijack: vbscript - (no CLSID) - (no file)
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files (x86)\Windows Live\Mail\mailcomm.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
Información Adicional:
----------------------
ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys (file missing)
O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: epfwwfpr - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfwwfpr.sys (file missing)
O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Program Files (x86)\CyberLink\PowerDVD\000.fcl
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adp94xx.sys (file missing)
O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpahci.sys (file missing)
O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys (file missing)
O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\DRIVERS\aliide.sys (file missing)
O23 - Service: amdsata - AMD - C:\WINDOWS\system32\DRIVERS\amdsata.sys (file missing)
O23 - Service: amdsbs - AMD Technologies Inc. - C:\WINDOWS\system32\DRIVERS\amdsbs.sys (file missing)
O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arc.sys (file missing)
O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arcsas.sys (file missing)
O23 - Service: ATICDSDr - Unknown owner - C:\Users\RALANT~1\AppData\Local\Temp\ATICDSDr.sys (file missing)
O23 - Service: atikmdag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\atikmdag.sys (file missing)
O23 - Service: Broadcom NetXtreme II VBD (b06bdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\bxvbda.sys (file missing)
O23 - Service: Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 (b57nd60a) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60a.sys (file missing)
O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltLo.sys (file missing)
O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltUp.sys (file missing)
O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\Brserid.sys (file missing)
O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrSerWdm.sys (file missing)
O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbMdm.sys (file missing)
O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbSer.sys (file missing)
O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys (file missing)
O23 - Service: Controlador de conexión de red PCI Express Intel(R) PRO/1000 (e1express) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1e6032e.sys (file missing)
O23 - Service: Broadcom NetXtreme II 10 GigE VBD (ebdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\evbda.sys (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\DRIVERS\elxstor.sys (file missing)
O23 - Service: fcdabus - FarStone Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fcdabus.sys (file missing)
O23 - Service: FLEXnet Licensing Service 64 - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: Hauppauge Consumer Infrared Receiver (hcw85cir) - Hauppauge Computer Works, Inc. - C:\WINDOWS\system32\drivers\hcw85cir.sys (file missing)
O23 - Service: HpSAMD - Hewlett-Packard Company - C:\WINDOWS\system32\DRIVERS\HpSAMD.sys (file missing)
O23 - Service: iaStorV - Intel Corporation - C:\WINDOWS\system32\DRIVERS\iaStorV.sys (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\DRIVERS\iirsp.sys (file missing)
O23 - Service: LSI_FC - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_fc.sys (file missing)
O23 - Service: LSI_SAS - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas.sys (file missing)
O23 - Service: LSI_SAS2 - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas2.sys (file missing)
O23 - Service: LSI_SCSI - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_scsi.sys (file missing)
O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\DRIVERS\megasas.sys (file missing)
O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\DRIVERS\MegaSR.sys (file missing)
O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\DRIVERS\nfrd960.sys (file missing)
O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvraid.sys (file missing)
O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvstor.sys (file missing)
O23 - Service: ql2300 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql2300.sys (file missing)
O23 - Service: ql40xx - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql40xx.sys (file missing)
O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys (file missing)
O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\DRIVERS\sisraid4.sys (file missing)
O23 - Service: stexstor - Promise Technology - C:\WINDOWS\system32\DRIVERS\stexstor.sys (file missing)
O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\DRIVERS\viaide.sys (file missing)
O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\DRIVERS\vsmraid.sys (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)
Listado de Servicios (Deshabilitados):
--------------------------------------
57 Servicios.
10 de Carga Automatica.
47 de Carga Manual.
0 Deshabilitados.
El Elimover no encontró el archivo
Saludos
(16-7-2009 1:47:47) (GMT)
EliTriIP v5.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v5.96
a "
C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Acceso Denegado.
Eliminado Servicio, "Monitor"
Eliminado Servicio, "SCardSvr"
Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com
Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com
Reinicie para Completar la Limpieza.
(16-7-2009 1:48:02) (GMT)
EliTriIP v5.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "I:\"
Nº Total de Directorios: 3
Nº Total de Ficheros: 44
Nº de Ficheros Analizados: 3
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(16-7-2009 1:48:09) (GMT)
EliTriIP v5.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "D:\"
Nº Total de Directorios: 754
Nº Total de Ficheros: 13380
Nº de Ficheros Analizados: 1955
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(16-7-2009 1:49:07) (GMT)
EliTriIP v5.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 20209
Nº Total de Ficheros: 125664
Nº de Ficheros Analizados: 29810
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Este es el log
(16-7-2009 02:01:05 GMT)
SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Windows 7 Ultimate (v6.1.7100)
Parche MS08-067 (Servicio Servidor) NO Instalado.
Internet Explorer: (v8.0.7100.0) 0
Nombre Equipo:
Nombre Usuario:
Procesos Activos:
C:\PROGRAM FILES (X86)\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES (X86)\DNA\BTDNA.EXE
C:\PROGRAM FILES (X86)\BITTORRENT\BITTORRENT.EXE
C:\PROGRAM FILES (X86)\SKYPE\PHONE\SKYPE.EXE
C:\PROGRAM FILES (X86)\ELECTRONIC ARTS\EADM\CORE.EXE
C:\PROGRAM FILES (X86)\EMULE\EMULE.EXE
C:\PROGRAM FILES (X86)\FARSTONE\VIRTUALDRIVE\VHD\RDTASK.EXE
C:\PROGRAM FILES (X86)\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES (X86)\FARSTONE\VIRTUALDRIVE\VDTASK.EXE
C:\USERS\RAúL ANTONIO\APPDATA\LOCAL\GOOGLE\UPDATE\1.2.183.7\GOOGLECRASHHANDLER.EXE
C:\PROGRAM FILES (X86)\CYBERLINK\POWERDVD\PDVDSERV.EXE
C:\PROGRAM FILES (X86)\COMMON FILES\INSTALLSHIELD\UPDATESERVICE\ISSCH.EXE
C:\PROGRAM FILES (X86)\WINDOWS LIVE\CONTACTS\WLCOMM.EXE
C:\PROGRAM FILES (X86)\WINAMP\WINAMP.EXE
C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\WINWORD.EXE
C:\PROGRAM FILES (X86)\MICROSOFT\OFFICE LIVE\OFFICELIVESIGNIN.EXE
C:\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.EXE
C:\USERS\RAúL ANTONIO\DOWNLOADS\SPROCES.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=explorer.exe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files (x86)\DNA\btdna.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files (x86)\BitTorrent\bittorrent.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [Google Update] "C:\Users\Raúl Antonio\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files (x86)\eMule\emule.exe -AutoStart
O4 - HKLM\..\Run: [RAMDrive] "C:\Program Files (x86)\FarStone\VirtualDrive\VHD\RDTask.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [VirtualDrive] "C:\Program Files (x86)\FarStone\VirtualDrive\VDTask.exe" /AutoRestore
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files (x86)\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files (x86)\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\Raúl Antonio\Downloads\EliTriIP.exe
O4 - Startup: desktop.ini
O4 - Startup: Registro de FIFA 09.lnk
O4 - Global Startup: desktop.ini
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: NULL2
O17 - HKLM\System\CCS\Services\Tcpip\..\{61822899-78C6-4FBD-9C3C-45283C359191}: NameServer = 200.48.225.130,200.48.225.146
O18 - Protocol hijack: about - (no CLSID) - (no file)
O18 - Protocol hijack: dvd - (no CLSID) - (no file)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol hijack: its - (no CLSID) - (no file)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol hijack: mhtml - (no CLSID) - (no file)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol hijack: ms-its - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol hijack: tv - (no CLSID) - (no file)
O18 - Protocol hijack: vbscript - (no CLSID) - (no file)
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files (x86)\Windows Live\Mail\mailcomm.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
Información Adicional:
----------------------
ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys (file missing)
O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: epfwwfpr - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfwwfpr.sys (file missing)
O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Program Files (x86)\CyberLink\PowerDVD\000.fcl
Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adp94xx.sys (file missing)
O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpahci.sys (file missing)
O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys (file missing)
O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\DRIVERS\aliide.sys (file missing)
O23 - Service: amdsata - AMD - C:\WINDOWS\system32\DRIVERS\amdsata.sys (file missing)
O23 - Service: amdsbs - AMD Technologies Inc. - C:\WINDOWS\system32\DRIVERS\amdsbs.sys (file missing)
O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arc.sys (file missing)
O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arcsas.sys (file missing)
O23 - Service: ATICDSDr - Unknown owner - C:\Users\RALANT~1\AppData\Local\Temp\ATICDSDr.sys (file missing)
O23 - Service: atikmdag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\atikmdag.sys (file missing)
O23 - Service: Broadcom NetXtreme II VBD (b06bdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\bxvbda.sys (file missing)
O23 - Service: Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 (b57nd60a) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60a.sys (file missing)
O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltLo.sys (file missing)
O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltUp.sys (file missing)
O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\Brserid.sys (file missing)
O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrSerWdm.sys (file missing)
O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbMdm.sys (file missing)
O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbSer.sys (file missing)
O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys (file missing)
O23 - Service: Controlador de conexión de red PCI Express Intel(R) PRO/1000 (e1express) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1e6032e.sys (file missing)
O23 - Service: Broadcom NetXtreme II 10 GigE VBD (ebdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\evbda.sys (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\DRIVERS\elxstor.sys (file missing)
O23 - Service: fcdabus - FarStone Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fcdabus.sys (file missing)
O23 - Service: FLEXnet Licensing Service 64 - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: Hauppauge Consumer Infrared Receiver (hcw85cir) - Hauppauge Computer Works, Inc. - C:\WINDOWS\system32\drivers\hcw85cir.sys (file missing)
O23 - Service: HpSAMD - Hewlett-Packard Company - C:\WINDOWS\system32\DRIVERS\HpSAMD.sys (file missing)
O23 - Service: iaStorV - Intel Corporation - C:\WINDOWS\system32\DRIVERS\iaStorV.sys (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\DRIVERS\iirsp.sys (file missing)
O23 - Service: LSI_FC - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_fc.sys (file missing)
O23 - Service: LSI_SAS - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas.sys (file missing)
O23 - Service: LSI_SAS2 - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas2.sys (file missing)
O23 - Service: LSI_SCSI - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_scsi.sys (file missing)
O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\DRIVERS\megasas.sys (file missing)
O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\DRIVERS\MegaSR.sys (file missing)
O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\DRIVERS\nfrd960.sys (file missing)
O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvraid.sys (file missing)
O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvstor.sys (file missing)
O23 - Service: ql2300 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql2300.sys (file missing)
O23 - Service: ql40xx - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql40xx.sys (file missing)
O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys (file missing)
O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\DRIVERS\sisraid4.sys (file missing)
O23 - Service: stexstor - Promise Technology - C:\WINDOWS\system32\DRIVERS\stexstor.sys (file missing)
O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\DRIVERS\viaide.sys (file missing)
O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\DRIVERS\vsmraid.sys (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)
Listado de Servicios (Deshabilitados):
--------------------------------------
57 Servicios.
10 de Carga Automatica.
47 de Carga Manual.
0 Deshabilitados.
El Elimover no encontró el archivo
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Aparición del autorun
No sé si ya lo has enviado, sino:
[b][i]Por favor, envienos una muestra del fichero
C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v5.96[/i] [/b]
y lanza un windowsupdate e instala los parches pendientes:
[b][i]Parche MS08-067 (Servicio Servidor) NO Instalado.[/i] [/b]
Y paso a analizar el log:
pues esperaba encontrar en el Shell del Explorer la llamada al fichero malware wauclt.exe, para ver su ruta, pero no ha sido así:(
Pero vemos este otro fichero sospechoso, envianoslo tambien para analizar:
C:\USERS\RAúL ANTONIO\APPDATA\LOCAL\GOOGLE\UPDATE\1.2.183.7\GOOGLECRASHHANDLER.EXE
y elimina estas claves:
O13 - Gopher Prefix: NULL2
O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys (file missing)
La ultima si no puedes con el HJT, prueba el ELISERV, indicando como servicio : atksgt
y estas parecen ser de NOD32 medio desinstalado...
O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: epfwwfpr - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfwwfpr.sys (file missing)
mejor desinstalalo totalmente y luego instala de nuevo el que quieras.
saludos
ms, 16-7-2009
NOTA:
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos. ms.
C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v5.96
y lanza un windowsupdate e instala los parches pendientes:
Y paso a analizar el log:
pues esperaba encontrar en el Shell del Explorer la llamada al fichero malware wauclt.exe, para ver su ruta, pero no ha sido así
Pero vemos este otro fichero sospechoso, envianoslo tambien para analizar:
C:\USERS\RAúL ANTONIO\APPDATA\LOCAL\GOOGLE\UPDATE\1.2.183.7\GOOGLECRASHHANDLER.EXE
y elimina estas claves:
O13 - Gopher Prefix: NULL2
O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys (file missing)
La ultima si no puedes con el HJT, prueba el ELISERV, indicando como servicio : atksgt
y estas parecen ser de NOD32 medio desinstalado...
O23 - Service: eamon - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: epfwwfpr - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfwwfpr.sys (file missing)
mejor desinstalalo totalmente y luego instala de nuevo el que quieras.
saludos
ms, 16-7-2009
NOTA:
Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos. ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Aparición del autorun
Recibida con su nick una muestra de REGEDIT.EXE, solicitado por el ELISTARA, no se detecta en ella virus, por lo que se atribuye dicha solicitud de muestra a encontrar dicho fichero fuera de su carpeta normal, lo cual es frecuente que hagan algunos malwares.
Se trata del mismo fichero que el de sistema, pero fuera de sitio.
Dejelo estar o muevalo donde debe estar, en C:\windows
saludos
ms, 16-7-2009
Se trata del mismo fichero que el de sistema, pero fuera de sitio.
Dejelo estar o muevalo donde debe estar, en C:\windows
saludos
ms, 16-7-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Aparición del autorun
Ya borré las dos claves y reinstale el nod. El problema es que el Elitrip se autoejecuta cada vez que inicio sistema y siempre me pide que envie esa muestra, Espero su ayuda.
Saludos
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Aparición del autorun
Claro, esto te pasa porque está donde no debe, como te decía en mi último post:
[b][i]"solicitud de muestra al encontrar dicho fichero fuera de su carpeta normal,"[/i] [/b]
Dicho fichero debe estar dentro de C:\windows, y en carpetas de los parches que lo mejoraran, pero parece que lo tiene en otra parte, y ello lo detecta como anómalo el ELITRIIP
Compruebelo y diganos donde lo tiene ademas de en c:\windows y en C:\windows\ServicePackFiles\i386 , y le diremos de donde borrarlo (dejandolo donde corresponde) para que no lo siga detectando donde no es lógico que esté.
saludos
ms, 18-7-2009
Dicho fichero debe estar dentro de C:\windows, y en carpetas de los parches que lo mejoraran, pero parece que lo tiene en otra parte, y ello lo detecta como anómalo el ELITRIIP
Compruebelo y diganos donde lo tiene ademas de en c:\windows y en C:\windows\ServicePackFiles\i386 , y le diremos de donde borrarlo (dejandolo donde corresponde) para que no lo siga detectando donde no es lógico que esté.
saludos
ms, 18-7-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Aparición del autorun
A parte de Windows sólo se encuentra en estas carpetas
C:\windows\SySWOW64
C:\Windows\winsxs\amd64_microsoft-windows-registry-editor_31bf3856ad364e35_6.1.7100.0_none_c1404949e94be916
Saludos
C:\windows\SySWOW64
C:\Windows\winsxs\amd64_microsoft-windows-registry-editor_31bf3856ad364e35_6.1.7100.0_none_c1404949e94be916
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Aparición del autorun
Pues al ver estas carpetas que mencionas, que no son propias de un XP de 32 bits normalito y corriente , he visto que ya usas Windows 7:
[b][i]Sistema Operativo: Windows 7 Ultimate (v6.1.7100)[/i] [/b]
El cual aun no hemos implementado en nuestros ordenadores, pero que lo instalaremos en una máquina de las que usamos para monitorizar muestras, a ver si nos crea dichas carpetas y el REGEDIT.EXE en ellas, con lo cual modificaremos el ELISTARA y el ELITRIIP en consecuencia, los cuales si encuentran ficheros con nombre de los de sistema, pero en ubicaciones sospechosas, piden muestra, y en este caso es lo que hacen, y al parecer no se deja eliminar y lo programa para el siguiente reinicio, por ello lo de que cada vez que arranca le aparece lo mismo.
Ello lo puede solucionar on el BUSCAREG, entra la palabra a buscar ELITRIIP y encontrará una clave de RUNONCE , que le ofrecerá eliminar, hágalo y ya se terminará la historia, y de momento no ejecute dichas utilidades, hasta que informemos de que hayamos hecho una versión para eludir este problema, el primero con Windows 7, y seguro que no será el último, pues lógicamente habrá cambios respecto los sistemas actualmente conocidos.
Pero como que este Windows 7 parece ser el futuro, nos adaptaremos a él.
[size=150][color=darkblue][b]BuscaReg[/b] [/color] [/size] (SATINFO)
Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.
[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b] [/url]
saludos
ms, 19-7-2009
El cual aun no hemos implementado en nuestros ordenadores, pero que lo instalaremos en una máquina de las que usamos para monitorizar muestras, a ver si nos crea dichas carpetas y el REGEDIT.EXE en ellas, con lo cual modificaremos el ELISTARA y el ELITRIIP en consecuencia, los cuales si encuentran ficheros con nombre de los de sistema, pero en ubicaciones sospechosas, piden muestra, y en este caso es lo que hacen, y al parecer no se deja eliminar y lo programa para el siguiente reinicio, por ello lo de que cada vez que arranca le aparece lo mismo.
Ello lo puede solucionar on el BUSCAREG, entra la palabra a buscar ELITRIIP y encontrará una clave de RUNONCE , que le ofrecerá eliminar, hágalo y ya se terminará la historia, y de momento no ejecute dichas utilidades, hasta que informemos de que hayamos hecho una versión para eludir este problema, el primero con Windows 7, y seguro que no será el último, pues lógicamente habrá cambios respecto los sistemas actualmente conocidos.
Pero como que este Windows 7 parece ser el futuro, nos adaptaremos a él.
Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.
saludos
ms, 19-7-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Aparición del autorun
Ya está. Gracias. Una consulta, cuando se refiere a no usar estas utilidades, se refiere a no usar el ELITRIIP o a no usar ninguna en general???
Saludos.
Saludos.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Aparición del autorun
Creo que tanto el ELISTARA como el ELITRIIP miran si el REGEDIT.EXE está fuera de su sitio, asi que no uses ninguno de los dos por ahora.
Hoy instalaremos un windows7 en una máquina de monitorizacion y trataremos de solucionar dicho problema, de lo cual informaremos
saludos
ms, 20-7-2009
Hoy instalaremos un windows7 en una máquina de monitorizacion y trataremos de solucionar dicho problema, de lo cual informaremos
saludos
ms, 20-7-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Aparición del autorun
Ya en el trabajo hemos comprobado que el ELISTARA no detecta REGEDIT fuera de sitio, solo el ELITRIIP, ya que hay un SDBOT que usa este nombre para despistar, y se controla con dicha utilidad.
Con la nueva version de hoy del ELITRIIP filtraremos dicha detección, y esperamos que ya no ocasione dicho problema.
De todas formas es un poco raro el particular, ya que lo controlabamos de la carpeta de sistema, y en su caso decía no tenerlo allí... quizás era porque lo moviamos a C:\muestras\ , aunque luego lo regeneraba la DLLCACHE...
En fin, con el nuevo ELITRIIP esperamos que ya se solucione, al menos así ha sido en el WINDOWS 7 que hemos instalado al efecto.
Tras probar dicha nueva versión, comentenos el resultado, gracias
saludos
ms, 20-7-2009
Con la nueva version de hoy del ELITRIIP filtraremos dicha detección, y esperamos que ya no ocasione dicho problema.
De todas formas es un poco raro el particular, ya que lo controlabamos de la carpeta de sistema, y en su caso decía no tenerlo allí... quizás era porque lo moviamos a C:\muestras\ , aunque luego lo regeneraba la DLLCACHE...
En fin, con el nuevo ELITRIIP esperamos que ya se solucione, al menos así ha sido en el WINDOWS 7 que hemos instalado al efecto.
Tras probar dicha nueva versión, comentenos el resultado, gracias
saludos
ms, 20-7-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Aparición del autorun
Pasé el Elitriip, y no encontró ningún problema. Ya está solucionado sobere el archivo fuera de sitio.
Saludos.
Saludos.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Aparición del autorun
Sí, hemos filtrado dicha detección de modo que solo pediremos muestra si es menor de 100 kB, ya que el SDBOT de marras lo era, mientras que el REGEDIT normal es muy superior, esté donde esté.
[b][i]---v5.97---(20 de Julio del 2009) (Excluida la deteccion de %WinSys%\REGEDIT.EXE mayores de 100 Kbytes)[/i] [/b]
Ha sido una "mejora" que no estaba prevista, pero siempre ayuda.
Diganos si lo del wauclt ya no le ha causado mas problemas y podemos dar por solucionado el Tema, gracias
saludos
ms, 21-7-2009
Ha sido una "mejora" que no estaba prevista, pero siempre ayuda.
Diganos si lo del wauclt ya no le ha causado mas problemas y podemos dar por solucionado el Tema, gracias
saludos
ms, 21-7-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Aparición del autorun
Ya no me ha causado problemas. Muchas gracias.
Saludos
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Aparición del autorun
Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 22-7-2009
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 22-7-2009
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online