Problema y preguntas posible virus (SOLUCIONADO)

[Divix_10]

Buenas



No soy muy entendido en estos de los virus, el caso es que hace unos dias harto de que el PC fuera lento y no me funcionaran algunas cosas decidi instalrame un antivirus.



Tengo varios problemas que los tengo incluso despues de ha[b][i]B[/i][/b]er escaneado el PC con el antivurs ( AVG, si existe alguna mejor y gratuito decirme plz ), los problemas son:



1 - No me funciona el Administrador de TAreas ( ctrl+alt+supr )

2- No puedo ver archivos ocultos, aun activando la opcion en herramientas no puedo

[msc hotline sat]

Por los sintomas indicados puede ser cualquiera de los Bagles o de variantes de troyanos contyrolados por el ELISTARA



Prueba estas dos utilidades y posteanos los resultados:



ELIBAGLA


[quote="msc"]
[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

ELISTARA


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



SALUDOS



MS, 21-7-2009

[Divix_10]

(21-7-2009 10:0:5)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(21-7-2009 10:0:21)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1767

Nº Total de Ficheros: 22712

Nº de Ficheros Analizados: 7962

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 10:12:17) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"

No detectado SP3 de Windows XP



(21-7-2009 10:12:31) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



(21-7-2009 10:26:42)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(21-7-2009 10:27:18)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 254

Nº Total de Ficheros: 7858

Nº de Ficheros Analizados: 78

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 10:27:56)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(21-7-2009 10:28:0)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

MANUAL DE DREAMWEAVER MX ESPA??OL (CURSO GUIA SPANISH) GOUGOULE.ZIP -> Bagle

Nº Total de Directorios: 570

Nº Total de Ficheros: 6422

Nº de Ficheros Analizados: 153

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(21-7-2009 10:28:54)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(21-7-2009 10:29:0)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 240

Nº Total de Ficheros: 7673

Nº de Ficheros Analizados: 133

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Ahi tienes el escaneo de elibagle

[msc hotline sat]

Pues algo raro tienes, ya que se ha detectado esto:



MANUAL DE DREAMWEAVER MX ESPA??OL (CURSO GUIA SPANISH) GOUGOULE.ZIP -> Bagle



pero logicamente debe haber aparte ejecutables relacionados, que no han sido detectados ???



Prueba el SPROCES y posteanos el informe resultante:



[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 21-7-2009





NOTA: y ha posteado analisis del ELITRIIP, no del ELISTARA que le pediamos. Proceda en consecuencia. ms.

[Divix_10]

He realizado un analisis con el programa Spyware Terminator y me sale la sigiente amenaza:



Backdoor.W32.Hupigon.LSA en el ficher c:\windows\lsass.exe



Si es necesario te puedo colgar todo el informe de analisis

[msc hotline sat]

Por tercera vez, prueba el ELISTARA.EXE, si no haces caso de lo que te decimos, seras desactivado del foro.



NO TE LO VOLVEREMOS A REPETIR



ms.




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

[Divix_10]

Aqui esta el analisis

(21-7-2009 14:07:24 (GMT))

EliStartPage v19.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIV~1\CRAWLER\TOOLBAR\CTBR.DLL --> Eliminado CrawlerToolbar(bho/tb)

C:\WINDOWS\A.TXT --> Eliminado (Fichero Complementario).

Eliminada Class, "{183643C8-EE67-4574-9A38-927852E34163}" -> NULL1

Eliminada Class, "{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4D25FB7A-8902-4291-960E-9ADA051CFBBF}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{54ECA872-DB2A-4C6B-BBB2-F3777C6786CC}" -> NULL1

Eliminada Class, "{8736C681-37A0-40C6-A0F0-4C083409151C}" -> NULL1

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

shellexecute=\akaro.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

shellexecute=\akaro.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

shellexecute=\akaro.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(21-7-2009 14:07:56 (GMT))

EliStartPage v19.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 762

Nº Total de Ficheros: 11096

Nº de Ficheros Analizados: 6028

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 14:16:47 (GMT))

EliStartPage v19.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 254

Nº Total de Ficheros: 7863

Nº de Ficheros Analizados: 164

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 14:16:54 (GMT))

EliStartPage v19.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 554

Nº Total de Ficheros: 6313

Nº de Ficheros Analizados: 543

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 14:17:07 (GMT))

EliStartPage v19.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 240

Nº Total de Ficheros: 7673

Nº de Ficheros Analizados: 1441

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues de momento ya ves que aparte de detectar y eliminar algunos troyanos, te pedimos que envies muestras para analizar de:





Detectado AUTORUN.INF en la Unidad (D)

shellexecute=\akaro.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

shellexecute=\akaro.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

shellexecute=\akaro.exe

Si Desconoce la Aplicación, por favor envienosla



Tanto en D:\ como en E:\ como en F:\ tiene el akaro.exe que es lanzado por AUTORUN.INF , propio de un troyano que propaga a todas las unidades diichos ficheros para que infecten pendrives y autopropaguen la infeccion en otros ordenadores donde se inserten



Envienos cualquiera de estos AUTORUN.INF y de uno de estos ficheros \akaro.exe



Si no lo encuentras, prueba de moverlo con el ELIMOVER a C:\muestras, desde donde te será muy facil enviarnoslo:



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



entrando por ejemplo D:\AUTORUN.INF



Y D:\AKARO.EXE





luego nos los envias para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





y como que decias que habias detectado un c:\windows\lsass.exe



envianoslo tambien del mismo modo.









Aparte te faltan muchos parches:



No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



lanza un windowsupdate e instala los que detecte pendientes.





Y tras enviarnoslo, mientras los reccibimos y analizamos, prueba el SPROCES y nos posteas el informe resultante (creo que ya te lo habiamos dicho):






[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.





saludos



ms, 21-7-2009

[msc hotline sat]

Por cierto, como que está claro que se trata de un virus que se propaga por pendrive, vacuna tu ordenador y pendrives con el ELIPEN:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 21-7-2009

[Divix_10]

OK, por partes, ya os he enviado las muestras del akaro.exe, autorun.info y el lsass.ese que os dije ( este ultimo era el bakcdoor.W32....)



Luego aqui dejo el infomre del Sproces:



(21-7-2009 20:23:06 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Nombre Equipo: DIVIX-8575BE867

Nombre Usuario: Divix



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE TERMINATOR\SP_RSSER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\CORE\SMAX4PNP.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4.EXE

C:\WINDOWS\AKARO.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\DEBUG\DIDO.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE TERMINATOR\SPYWARETERMINATORUPDATE.EXE

C:\WINDOWS\LSASS.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\WINDOWS\AKARO.EXE

C:\WINDOWS\DEBUG\DIDO.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\DOCUMENTS AND SETTINGS\DIVIX\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [rundll32.exe] c:\windows\debug\dido.exe

O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\Archivos de programa\Spyware Terminator\SpywareTerminatorUpdate.exe"

O4 - HKCU\..\Run: [lsass.exe] c:\windows\lsass.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Audiotrack] c:\windows\akaro.exe

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248188778500

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

Activada Restricción del Administador de Tareas.(DisableTaskMgr)



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys

O23 - Service: AE Audio Service (AEAudio) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SenFilt Service (SenFiltService) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\Senfilt.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



17 Servicios.

4 de Carga Automatica.

12 de Carga Manual.

1 Deshabilitados.

[Divix_10]

Luego lo del ELIPEN, lo utilize, pero no se que archivo quereis que os ponga, vuelvo a usar el ELISTARA y cuelgo el archivo que crea?? Despues de haver "vacunado" al PC?

[Divix_10]

Aqui esta lo del elipen



(21-7-2009 20:29:20)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Detectado D:\Autorun.inf

SHELLEXECUTE=\AKARO.EXE

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida



Detectado F:\Autorun.inf

SHELLEXECUTE=\AKARO.EXE

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



(21-7-2009 20:35:17)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------



Detectado E:\Autorun.inf

SHELLEXECUTE=\AKARO.EXE

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida







Muchas gracias por la ayuda que me estais ofreciendo, y perdon por los errores que pueda cometer y esas cosas, no entiendo muy bien de esto jeje

[lucl]

Mañana te analizaran los envios y te daran la herramienta necesaria para solucionarlo. Sobre el log mañana te confirmara Msc si hay algo mas a parte de lo que ya estamos analizando. Pero tienes esta entrada



c:\windows\debug\dido.exe



que no se lo que es, te suena? saludos

[Divix_10]

No no me suena...



Que puede ser?? otro troyano?? :S



Puede que sea tipo el lsass.exe no se :S

[msc hotline sat]

Este dido.exe puede ser malicioso, segun http://www.prevx.com/filenames/201355842497444564-X1/DIDO.EXE.html



envianoslo para analizar



Y paso a analizar el log del SPROCES...

[msc hotline sat]

Efectivamente, tienes claves de lanzamiento del AKARO.EXE y del c:\windows\lsass.exe (que no es el del sistema, claro)



O4 - HKLM\..\Run: [Audiotrack] c:\windows\akaro.exe

O4 - HKCU\..\Run: [lsass.exe] c:\windows\lsass.exe



que eliminaremos en la proxima version del ELISTARA 19.08 de hoy, asi como restauraremos las claves de acceso al taskmanager y a la edicion del REGEDIT que ahora tienes bloqueadas.



Si ademas recibimos este dido.exe, tras analizarlo obraremos en consecuencia de lo cual informaremos, aunque de momento nos parece raro que sea lanzado en una clave con valor [rundll32.exe] ... ???



O4 - HKCU\..\Run: [rundll32.exe] c:\windows\debug\dido.exe



saludos



ms, 22-7-2009

[Divix_10]

Ya os he mandado el dido.exe



Espero instrucciones xD

[msc hotline sat]

Recibido el ultimo fchero pedido, DIDO.EXE, lo pasaremos a analizar.



Los otros dos, el akaro.exe y el lsass de c:\windows son un mismo fichero, con icono de AVG ... y que en un preanalisis del Virus Total, ninguno de los 41 antivirus detecta nada ... a pesar de que tenemos un 90 % de seguridad de que es bicho, pero aun no conocido.



File akaro.exe.Muestra_EliMover_v1.1 received on 2009.07.22 08:59:25 (UTC)



Result: 0/40 (0%)

File size: 294912 bytes

MD5...: 7535ecb924c9cf863162c9cb7a5afbff

SHA1..: 0654d8db252cf7be86796a47af57bf83496650f6





Están en cola de monitorización. Esperamos que terminen esta mañana e informaremos, a ver si los podemos implementar su control y eliminacion en el ELISTARA de hoy. ( o en el ELITRIIP, o en otro, segun lo que sea...)



saludos



ms, 22-7-2009





NOTA: Si quieres, mientras, renombra estos tres ficheros a .VIR, bueno los dos primeros ya estan en cuarentena, no hace falta, pero este último dido.exe, le añades .VIR y tras reiniciar ya no se pondrá en marcha, luego si es bicho ya lo eliminará el ELISTARA que hagamos al respecto, y si no lo es, se le quita el .VIR y listos.



saludos



ms, 22-7-2009

[msc hotline sat]

Bueno, pues habemus nuevo virus que se copia con icono de AVG en ficheros lsass.exe, akaro.exe y dido.exe, como ha sido en tu caso.



Es recien nacido, pues aun ningun antivirus "gordo" de los 41 del VirusTotal, lo detecta



Pasamos a controlarlo a partir del ELISTARA de hoy, 19.08 con el que restableceremos claves modificadas y demas



Esta tarde descargalo y tras probarlo, posteanos el contenido de c:\infosat.txt



saludos



ms, 22-7-2009

[Divix_10]

(22-7-2009 20:45:34 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\AKARO.EXE --> Eliminado AutoRun.FakeAVG

C:\WINDOWS\LSASS.EXE --> Eliminado AutoRun.FakeAVG

C:\WINDOWS\DEBUG\DIDO.EXE --> Eliminado AutoRun.FakeAVG

C:\ARCHIV~1\CRAWLER\CTBR.DLL --> CrawlerToolbar(bho/tb) Renombrado a .VIR

C:\WINDOWS\A.TXT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Audiotrack"="c:\windows\akaro.exe"

Entrada Eliminada [HKCU\...\Run] "lsass.exe"="c:\windows\lsass.exe"

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"="c:\windows\debug\dido.exe"

Eliminada Class, "{183643C8-EE67-4574-9A38-927852E34163}" -> NULL1

Eliminada Class, "{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" -> C:\ARCHIV~1\Crawler\ctbr.dll

Eliminada Class, "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> C:\ARCHIV~1\Crawler\ctbr.dll

Eliminada Class, "{4D25FB7A-8902-4291-960E-9ADA051CFBBF}" -> C:\ARCHIV~1\Crawler\ctbr.dll

Eliminada Class, "{54ECA872-DB2A-4C6B-BBB2-F3777C6786CC}" -> NULL1

Eliminada Class, "{8736C681-37A0-40C6-A0F0-4C083409151C}" -> NULL1

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(22-7-2009 20:48:47 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(22-7-2009 20:49:17 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Crawler\CTBR.DLL.VIR --> Eliminado, CrawlerToolbar(bho/tb)

C:\Muestras\AKARO.EXE.MUESTRA ELIMOVER V1.1 --> Eliminado, AutoRun.FakeAVG

C:\Muestras\DIDO.EXE.MUESTRA ELIMOVER V1.1 --> Eliminado, AutoRun.FakeAVG

C:\Muestras\LSASS.EXE.MUESTRA ELITRIIP V5.97 --> Eliminado, AutoRun.FakeAVG



Nº Total de Directorios: 1819

Nº Total de Ficheros: 23892

Nº de Ficheros Analizados: 13578

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



(22-7-2009 20:52:00 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\AKARO.EXE --> Eliminado, AutoRun.FakeAVG



Nº Total de Directorios: 257

Nº Total de Ficheros: 7864

Nº de Ficheros Analizados: 164

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(22-7-2009 20:52:18 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 257

Nº Total de Ficheros: 7863

Nº de Ficheros Analizados: 163

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-7-2009 20:52:22 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\AKARO.EXE --> Eliminado, AutoRun.FakeAVG



Nº Total de Directorios: 557

Nº Total de Ficheros: 6314

Nº de Ficheros Analizados: 543

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(22-7-2009 20:52:51 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"

F:\AKARO.EXE --> Eliminado, AutoRun.FakeAVG



Nº Total de Directorios: 243

Nº Total de Ficheros: 7674

Nº de Ficheros Analizados: 1441

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(22-7-2009 20:53:18 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "I:\"

I:\AKARO.EXE --> Eliminado, AutoRun.FakeAVG

I:\D9C.BAT --> Eliminado, PWS-OnLineGames.Olhrwef

I:\3.CMD --> Eliminado, PWS-OnLineGames.Olhrwef

I:\Y6YOL.EXE --> Eliminado, PWS-OnLineGames.Olhrwef

I:\AUTORUN.INF --> Eliminado, AutoRun.FakeAVG(inf)

I:\CJ1M.COM --> Eliminado, PWS-OnLineGames.Olhrwef

I:\GCLWPIVC.CMD --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 1

Nº Total de Ficheros: 23

Nº de Ficheros Analizados: 15

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7

[Divix_10]

El archivo lsass.exe no se ha eliminado creo, porque con el Sproces sale aun....



El administrador de tarea ya me funciona

[msc hotline sat]

Si que has eliminado el LSASS malware:



[b][i]C:\WINDOWS\LSASS.EXE --> Eliminado AutoRun.FakeAVG



C:\Muestras\LSASS.EXE.MUESTRA ELITRIIP V5.97 --> Eliminado, AutoRun.FakeAVG[/i][/b]



El LSASS.EXE que debes ver puede ser el de sistema, que está en C:\windows\system32\LSASS.EXE , y este no debes tocarlo.



Fijate que el maliciosos estaba en C:\WINDOWS\ y ademas tenía icono de AVG, no como este que hay en la carpeta de sistema



Tras comprobarlo, informarmos y dinos si ya no persiste ninguna anomalía y podemos dar el Tema por solucionado, gracias



saludos



ms, 23-7-2009

[Divix_10]

EN C:\windows tengo este lsass.exe.ren, eso es que ya no es virus no?? el Elsitara ya no lo detecta como tal..



Por lo demas creo que ya esta todo bien

[msc hotline sat]

No porque tiene extension .ren que no la hemos puesto nosotros, aunque no es ejecutable.



Cambiasela por .VIR o añadele .VIR y verás como el ELISTARA lo detectará y eliminará



saludos



ms, 23-7-2009

[Divix_10]

(23-7-2009 9:45:28 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-7-2009 9:45:37 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\LSASS.EXE.REN.VIR --> Eliminado, AutoRun.FakeAVG



Nº Total de Directorios: 1891

Nº Total de Ficheros: 26161

Nº de Ficheros Analizados: 13765

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[Divix_10]

Ok ya lo eliminó



Muchas gracias por la ayuda!



Una ultima cosa, cuando vacune el PC y los pendrive y esos con el Elipen, estan vacunados contra este tipo de troyano? los uqe tenia yo vamos...

[msc hotline sat]

El ELIPEN impide al ordenador la autoejecucion al insertar cualquier pendrive infectado por cualquier de los troyanos de este tipo, y si los pendrives estan vacunados (y memorias SD de maquinas fotograficas digitales, discos extraibes USB, etc ) no se les puede crear el fichero AUTORUN.INF , con lo cual no se lanza el bicho aunque se inserte en un ordenador no vacunado.



Y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 23-7-2009