Infectado PC con pendrive, pierdo conexion a internet(SOLUCIONADO)

[josema77]

Saludos;

Ayer dejaron de tener conexión a internet varias computadoras en la oficina. Nada mas prender la maquina se conecta bien a la red, pero en un par de enlaces se cae la conexion. Alguna de las maquinas se puede conectar al MSN pero no se puede navegar. Lo limpie con ccleaner le pase el antivirus AVG y el spybot y no me coseguio nada, estaban limpias. Hoy otra computadora le paso lo mismo y nos dimos cuanta que era por culpa de un pendrive, que me imagino esta infectado. EL pendrive funciona "bien" en Windows, pero no me lo deja montar en ubuntu para poder borrar los archivos.



Saludos, jose.

[lucl]

Usa estos dos programas que te indico. El elipen es para vacunar el pc y los pendrives. Te dejaran un log en C llamado infosat.txt cuyo contenido deberas pegarnos , saludos


http://www.zonavirus.com/descargas/elistara.asp
http://www.zonavirus.com/descargas/elipen.asp

[msc hotline sat]

Tras ello posteanos el informe generado por el SPROCES por si se tratara de algo no controlado:

SPROCES.EXE (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp
Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT

lo analizaremos e informaremos al respecto.

saludos

ms, 1-9-2009

[josema77]

Os envio el resultado de los dos programas que pase.

Código: Seleccionar todo

	(1-9-2009  18:33:20 (GMT))

EliStartPage v19.17  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\Documents and Settings\LEONIC\Favoritos\Ebay.url --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



	(1-9-2009  18:34:02 (GMT))

EliStartPage v19.17  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Septiembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\ReinstallBackups\0012\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios:   9782

Nº Total de Ficheros:      110525

Nº de Ficheros Analizados: 38383

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados:  1



	  (1-9-2009  19:30:16)

EliPen v1.9  (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado C:\Autorun.inf

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Detectado E:\Autorun.inf

OPEN=DRIVER\USB\ŠŒ Œ‹šÑŒ†Œ

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida

[flacoroo]

el elistara tambien debe ejecutarse sobre el pendrive o usb, para que elimine lo que tenga....no nos haz dicho como va tus compus.....y si sigues con problemas...ejecuta la herramienta que te dice Msc para ver que tienes y nos pegas el resultado

[msc hotline sat]

Y fijarse que el AUTORUN.INF llamaba a un fichero raro:

Detectado E:\Autorun.inf
OPEN=DRIVER\USB\ŠŒ Œ‹šÑŒ†Œ
E:\Autorun.inf -> Renombrado a .OLD

Con el bloc de Notas, ver lo que dice el actual E:\AUTORUN.INF.OLD y con un copiar y pegar, posteanoslo, ya que lo que lanzara podía ser malware y convendría analizarlo y controlarlo

saludos

ms, 2-9-2009

[josema77]

Os envío el Log de SPROCES
El archivo del pendrive AUTORUN.INF que lo renombro a .OLD lo borre y luego formatee el pendrive, de todas formas en el C:\ habia un archivo llamado Autorun.inf.old y lo que tenia el archivo era:
[Autorun]

icon=mxone.ico

Código: Seleccionar todo

(2-9-2009  14:01:03 GMT)

SProces v3.9  (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo:  VILMA

Nombre Usuario: LEONIC



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIV~1\AVG\AVG8\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\FSPROFLT.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\WINDOWS\SYSTEM32\PASTISVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\AVG\AVG8\AVGRSX.EXE

C:\ARCHIV~1\AVG\AVG8\AVGNSX.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\TRANSPARENCY\TRUETRANSPARENCY.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 8.0\ACROBAT\ACROTRAY.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INSTALLSHIELD\UPDATESERVICE\ISSCH.EXE

C:\ARCHIV~1\AVG\AVG8\AVGTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\MX ONE\MOGTR.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ACHAT\ACHAT.EXE

C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YAHOOMESSENGER.EXE

C:\WINDOWS\WINNSRV.EXE

C:\DOCUMENTS AND SETTINGS\LEONIC\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\UPDATE\1.2.183.7\GOOGLECRASHHANDLER.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 8.0\ACROBAT\ACROBAT_SL.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\DOCUMENTS AND SETTINGS\LEONIC\DATOS DE PROGRAMA\DROPBOX\BIN\DROPBOX.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MACROVISION SHARED\FLEXNET PUBLISHER\FNPLICENSINGSERVICE.EXE

C:\DOCUMENTS AND SETTINGS\LEONIC\ESCRITORIO\VILMA\SPROCES.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 8.0\ACROBAT\ACRODIST.EXE

C:\DOCUMENTS AND SETTINGS\LEONIC\ESCRITORIO\VILMA\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:3131 (0)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local> (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - 

 26 Servicios.

 11 de Carga Automatica.

 14 de Carga Manual.

  1 Deshabilitados.

C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {3BECCC0F-9B14-430A-A2E9-2C92A75F458D} - (no file)

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {54EEE741-F1AB-43CB-80F7-5FF8B0ED7229} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Archivos de programa\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Archivos de programa\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\LEONIC\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [AChat] "C:\Archivos de programa\AChat\AChat.exe" /startup

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [] 

O4 - HKLM\..\Run: [Vistadrv] C:\Archivos de programa\VDS\vsdrv.exe

O4 - HKLM\..\Run: [Transparency] C:/Archivos de programa/Transparency/TrueTransparency.exe

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [] 

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe

O4 - HKLM\..\Run: [Microsoft Windows DNS Service] winnsrv.exe

O4 - Startup: desktop.ini

O4 - Startup: Dropbox.lnk

O4 - Global Startup: Adobe Reader Synchronizer.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Save YouTube Video - res://C:\Archivos de programa\Archivos comunes\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm

O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Archivos de programa\Archivos comunes\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: FSPro Filter Service (fsproflt) - FSPro Labs - C:\WINDOWS\system32\fsproflt.exe

O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe



Listado de Servicios (Carga Manual):

------------------------------------

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Intel(R) Management Engine Interface (HECI) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\HECI.sys

O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C:\WINDOWS\system32\IcdSptSv.exe

O23 - Service: Sony IC Recorder (P) (ICDUSB2) - Sony Corporation - C:\WINDOWS\SYSTEM32\Drivers\ICDUSB2.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: VideoCAM GE111 (PAC207) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\pfc027.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



 26 Servicios.

 11 de Carga Automatica.

 14 de Carga Manual.

  1 Deshabilitados.

Muchas gracias por todo.

[msc hotline sat]

Bueno el icono del fichero que ejecutaba el AUTORUN no afectaba, era el fichero en sí el peligroso, pero si dice que ya lo ha formateado y todo... No se olvide de volver a protegerlo con el ELIPEN, pues el formateo elimina la proteccion.

Analizando el log vemos estos ficheros sospechosos:


C:\ARCHIVOS DE PROGRAMA\ACHAT\ACHAT.EXE

C:\WINDOWS\WINNSRV.EXE


envianoslos para analizar:




Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos


saludos

ms, 2-9-2009

[josema77]

Listo, envié los dos archivos como se decía en el post.



Gracias.

[msc hotline sat]

Pues en 13 o 14 horas. cuando volvamos al trabajo en SATINFO, las analizaremos e informaremos



Si quiere, para adelantar acontecimientos, suba los dos ficheros, uno a uno, al VirusTotal, https://www.virustotal.com/es/ , y posteenos el informe resultante con un copiar y pegar, asi veremos si los dos son víricos y el que lo sea lo podremos aparcar añadiendole la extension .VIR, y asi no se pondrá en marcha tras el siguiente reinicio, y provisionalmente no afectarán al comportamiento. (evidentemente los habrá de subir desde otro ordenador, claro)



Asi probaremos si entra en internet, y sino, obraremos en consecuencia. Podría tratarse de una variante del que acabamos de analizar de un cliente de SATINFO, que utilizaba otros nombres para sus ficheros, pero tambien impedía navegar. Tras aparcarlos, hemos probado el LSPFIX y con ello se ha resuelto, pero claro, no tiene porqué ser lo mismo...



saludos



ms, 2-9-2009

[josema77]

Subi los archivos, los dos decian que la muestra ya se habia analizado anteriormente. Envio resultados y la direccion donde se encuntra.

https://www.virustotal.com/es//analisis/5ad09cf93e6670efc1e64903ed3b23eff5c48c66a58259ebdf5a7ad5415425fb-1238727174




[code]Motor antivirus Versión Última actualización Resultado
a-squared 4.0.0.101 2009.04.02 -
AhnLab-V3 5.0.0.2 2009.04.02 -
AntiVir 7.9.0.129 2009.04.02 -
Antiy-AVL 2.0.3.1 2009.04.02 -
Authentium 5.1.2.4 2009.04.03 -
Avast 4.8.1335.0 2009.04.02 -
AVG 8.5.0.285 2009.04.02 -
BitDefender 7.2 2009.04.03 -
CAT-QuickHeal 10.00 2009.04.01 -
ClamAV 0.94.1 2009.04.02 -
Comodo 1096 2009.04.02 -
DrWeb 4.44.0.09170 2009.04.03 -
eSafe 7.0.17.0 2009.04.02 -
eTrust-Vet 31.6.6433 2009.04.03 -
F-Prot 4.4.4.56 2009.04.02 -
F-Secure 8.0.14470.0 2009.04.03 -
Fortinet 3.117.0.0 2009.04.03 -
GData 19 2009.04.03 -
Ikarus T3.1.1.49.0 2009.04.03 -
K7AntiVirus 7.10.690 2009.04.01 -
Kaspersky 7.0.0.125 2009.04.03 -
McAfee 5572 2009.04.02 -
McAfee+Artemis 5572 2009.04.02 -
McAfee-GW-Edition 6.7.6 2009.04.01 -
Microsoft 1.4502 2009.04.02 -
NOD32 3984 2009.04.02 -
Norman 6.00.06 2009.04.02 -
nProtect 2009.1.8.0 2009.04.03 -
Panda 10.0.0.14 2009.04.02 -
PCTools 4.4.2.0 2009.04.02 -
Prevx1 V2 2009.04.03 -
Rising 21.23.40.00 2009.04.03 -
Sophos 4.40.0 2009.04.03 -
Sunbelt 3.2.1858.2 2009.04.03 -
Symantec 1.4.4.12 2009.04.03 -
TheHacker 6.3.4.0.300 2009.04.03 -
TrendMicro 8.700.0.1004 2009.04.02 -
VBA32 3.12.10.2 2009.04.02 Trojan-Clicker.Win32.Agent.jl
ViRobot 2009.4.2.1673 2009.04.02 -
VirusBuster 4.6.5.0 2009.04.02 -

Información adicional
File size: 2851328 bytes
MD5   : 63cae7a00add465679fa2ac4e98f579e
SHA1  : 24784f016b6b058f40ed461c31e79c046b389d9f
SHA256: 5ad09cf93e6670efc1e64903ed3b23eff5c48c66a58259ebdf5a7ad5415425fb
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x1C71BC<br> timedatestamp.....: 0x2A425E19 (Sat Jun 20 00:22:17 1992)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 9 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> CODE 0x1000 0x1C6438 0x1C6600 6.52 5506a05c09c4bb03ebac12832664ae1b<br>DATA 0x1C8000 0x83D8 0x8400 5.91 9f740180d99c29e8a83372b88884775f<br>BSS 0x1D1000 0x2D8D 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x1D4000 0x3762 0x3800 4.91 e0264c74df9f41e927068a91f535b10a<br>.tls 0x1D8000 0x5C 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rdata 0x1D9000 0x18 0x200 0.20 95b1846d5c0336d08b23521675a91ba8<br>.reloc 0x1DA000 0x1EBCC 0x1EC00 6.65 d19620a7927ac5715af4d82a3cb95fd3<br>.rsrc 0x1F9000 0x8E800 0x8E800 5.65 40c2afcbf6dcb41abdae16dc81607e8f<br>JCLDEBUG 0x288000 0x385B8 0x38600 6.69 bc0bda923ccd0cfa7b721a5a9f11dde1<br> <br> ( 14 imports )<br> <br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, RegSetValueExA, RegQueryValueExW, RegQueryValueExA, RegQueryInfoKeyA, RegOpenKeyExW, RegOpenKeyExA, RegFlushKey, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, GetUserNameW<br>> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_GetIcon, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls<br>> comdlg32.dll: ChooseColorA, GetSaveFileNameW, GetSaveFileNameA, GetOpenFileNameW, GetOpenFileNameA<br>> gdi32.dll: GetRandomRgn<br>> iphlpapi.dll: GetAdaptersInfo<br>> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetTickCount, QueryPerformanceCounter, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle, TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, lstrlenW, lstrlenA, lstrcpyA, lstrcmpW, lstrcmpA, WriteProcessMemory, WritePrivateProfileStringA, WriteFile, WideCharToMultiByte, WaitForSingleObject, VirtualQueryEx, VirtualQuery, VirtualProtect, VirtualAlloc, UnmapViewOfFile, SuspendThread, Sleep, SizeofResource, SetThreadPriority, SetThreadLocale, SetLastError, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ResetEvent, ReadFile, RaiseException, QueryPerformanceFrequency, QueryPerformanceCounter, OpenProcess, MultiByteToWideChar, MulDiv, MapViewOfFile, LockResource, LoadResource, LoadLibraryW, LoadLibraryA, LeaveCriticalSection, IsBadReadPtr, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetWindowsDirectoryA, GetVersionExA, GetVersion, GetUserDefaultLCID, GetTimeZoneInformation, GetTickCount, GetThreadPriority, GetThreadLocale, GetTempPathA, GetSystemInfo, GetSystemDirectoryA, GetStringTypeExA, GetStdHandle, GetProfileStringA, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameW, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameW, GetFullPathNameA, GetFileSize, GetFileAttributesW, GetFileAttributesA, GetExitCodeThread, GetEnvironmentVariableA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetComputerNameA, GetCommandLineW, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageW, FormatMessageA, FindResourceA, FindNextFileW, FindNextFileA, FindFirstFileW, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, ExpandEnvironmentStringsA, EnumCalendarInfoA, EnterCriticalSection, DeleteFileW, DeleteFileA, DeleteCriticalSection, CreateThread, CreateMutexA, CreateFileMappingA, CreateFileW, CreateFileA, CreateEventA, CreateDirectoryW, CreateDirectoryA, CompareStringW, CompareStringA, CloseHandle, Sleep, GetVersionExA<br>> ole32.dll: CreateStreamOnHGlobal, IsAccelerator, ReleaseStgMedium, OleDraw, OleSetMenuDescriptor, OleGetClipboard, OleSetClipboard, DoDragDrop, RevokeDragDrop, RegisterDragDrop, OleUninitialize, OleInitialize, CreateDataAdviseHolder, CoTaskMemFree, CoTaskMemAlloc, ProgIDFromCLSID, StringFromCLSID, CoCreateInstance, CoGetClassObject, CoUninitialize, CoInitialize, IsEqualGUID<br>> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen, SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit, GetErrorInfo, GetActiveObject, SysFreeString<br>> shell32.dll: Shell_NotifyIconW, ShellExecuteW, ShellExecuteA, ExtractIconExA, DragQueryFileW, DragFinish, DragAcceptFiles, SHGetSpecialFolderLocation, SHGetPathFromIDListW, SHGetPathFromIDListA, SHGetMalloc, SHGetDesktopFolder, SHBrowseForFolderA<br>> urlmon.dll: URLDownloadToFileW<br>> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA, CreateWindowExW, CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, ValidateRect, UpdateWindow, UnregisterHotKey, UnregisterClassW, UnregisterClassA, UnionRect, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, ToAscii, SystemParametersInfoA, SubtractRect, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowRgn, SetWindowsHookExW, SetWindowsHookExA, SetWindowTextW, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongW, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRectEmpty, SetRect, SetPropA, SetParent, SetMenuItemInfoW, SetMenuItemInfoA, SetMenu, SetKeyboardState, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendMessageW, SendMessageA, ScrollWindow, ScrollDC, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterHotKey, RegisterClipboardFormatA, RegisterClassW, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageW, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxW, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyW, MapVirtualKeyA, LockWindowUpdate, LoadStringW, LoadStringA, LoadKeyboardLayoutA, LoadImageA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowUnicode, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageW, IsDialogMessageA, IsClipboardFormatAvailable, IsChild, IsCharAlphaNumericA, IsCharAlphaA, InvalidateRgn, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextLengthW, GetWindowTextW, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongW, GetWindowLongA, GetWindowInfo, GetWindowDC, GetUpdateRect, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessageTime, GetMessagePos, GetMenuStringW, GetMenuStringA, GetMenuState, GetMenuItemInfoW, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastInputInfo, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextW, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDoubleClickTime, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardFormatNameA, GetClipboardData, GetClientRect, GetClassNameW, GetClassNameA, GetClassInfoW, GetClassInfoA, GetCapture, GetAsyncKeyState, GetActiveWindow, FrameRect, FlashWindowEx, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EnumClipboardFormats, EndPaint, EndDeferWindowPos, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextW, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageW, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DeferWindowPos, DefWindowProcW, DefWindowProcA, DefMDIChildProcW, DefMDIChildProcA, DefFrameProcW, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateMDIWindowW, CreateIcon, CopyImage, CloseClipboard, ClientToScreen, ChildWindowFromPoint, CheckMenuItem, CharUpperBuffW, CharUpperW, CallWindowProcW, CallWindowProcA, CallNextHookEx, BeginPaint, BeginDeferWindowPos, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharUpperA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout<br>> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA<br>> winmm.dll: timeGetTime, timeEndPeriod, timeBeginPeriod, sndPlaySoundW, sndPlaySoundA<br>> winspool.drv: OpenPrinterA, EnumPrintersA, DocumentPropertiesA, ClosePrinter<br> <br> ( 0 exports )<br>
TrID&nbsp;&nbsp;: File type identification<br>Win32 Executable Borland Delphi 7 (90.4%)<br>Win32 EXE PECompact compressed (generic) (5.6%)<br>Win32 Executable Delphi generic (1.9%)<br>Win32 Executable Generic (1.1%)<br>Win16/32 Executable Delphi generic (0.2%)
ThreatExpert: <a href="http://www.threatexpert.com/report.aspx?md5=63cae7a00add465679fa2ac4e98f579e" target="_blank">http://www.threatexpert.com/report.aspx?md5=63cae7a00add465679fa2ac4e98f579e</a>
ssdeep: 49152:JOk0eqQ11d03WtjK6jvYLsc4QTkeHSTwmrEm:JOk95SgjvYF4YSTwC
PEiD&nbsp;&nbsp;: WARNING -> TROJAN -> HuiGeZi
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-
[/code]

el otro archivo con la dirección correspondiente



https://www.virustotal.com/es//analisis/661a1c4d8c6e9ae4aedefd4eb5641ee960d4610226ee73040f9076a69b07d5ed-1250516079


[code]Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.24 2009.08.17 -
AhnLab-V3 5.0.0.2 2009.08.15 -
AntiVir 7.9.1.1 2009.08.17 -
Antiy-AVL 2.0.3.7 2009.08.17 -
Authentium 5.1.2.4 2009.08.17 -
Avast 4.8.1335.0 2009.08.17 -
AVG 8.5.0.406 2009.08.17 -
BitDefender 7.2 2009.08.17 -
CAT-QuickHeal 10.00 2009.08.17 -
ClamAV 0.94.1 2009.08.17 -
Comodo 1964 2009.08.17 -
DrWeb 5.0.0.12182 2009.08.17 -
eSafe 7.0.17.0 2009.08.16 -
eTrust-Vet 31.6.6681 2009.08.17 -
F-Prot 4.4.4.56 2009.08.16 -
F-Secure 8.0.14470.0 2009.08.17 -
Fortinet 3.120.0.0 2009.08.17 -
GData 19 2009.08.17 -
Ikarus T3.1.1.68.0 2009.08.17 -
Jiangmin 11.0.800 2009.08.17 -
K7AntiVirus 7.10.820 2009.08.17 -
Kaspersky 7.0.0.125 2009.08.17 -
McAfee 5711 2009.08.16 -
McAfee+Artemis 5711 2009.08.16 -
McAfee-GW-Edition 6.8.5 2009.08.17 -
Microsoft 1.4903 2009.08.17 -
NOD32 4341 2009.08.17 -
Norman 2009.08.17 -
nProtect 2009.1.8.0 2009.08.17 -
Panda 10.0.0.14 2009.08.16 -
PCTools 4.4.2.0 2009.08.17 -
Prevx 3.0 2009.08.17 -
Rising 21.43.04.00 2009.08.17 -
Sophos 4.44.0 2009.08.17 -
Sunbelt 3.2.1858.2 2009.08.16 -
Symantec 1.4.4.12 2009.08.17 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.17 -
VBA32 3.12.10.9 2009.08.17 Net-Worm.Win32.Kolab.djq
ViRobot 2009.8.17.1887 2009.08.17 -
VirusBuster 4.6.5.0 2009.08.16 -

Información adicional
File size: 87040 bytes
MD5   : c71b179a577e3275f5240ae2c076a805
SHA1  : a70cac0665f2d7e6b69716d839ed41517f2bd68d
SHA256: 661a1c4d8c6e9ae4aedefd4eb5641ee960d4610226ee73040f9076a69b07d5ed
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x53C4<br> timedatestamp.....: 0x4A7F6D9A (Mon Aug 10 02:45:14 2009)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 4 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x45BF 0x4600 5.59 60676213efd3d8935115320455c88b99<br>.rdata 0x6000 0x848 0xA00 4.51 8d4cd4b8ebe05499e9cf01693b005df9<br>.data 0x7000 0x4074 0x800 5.81 a1ab0c40a129d3af3514c3fe2cc20fcf<br>.rsrc 0xC000 0xF6E8 0xF800 7.80 cfefb77581503347e912265ec28d5af5<br> <br> ( 5 imports )<br> <br>> kernel32.dll: GetTimeFormatA, CreateThread, GetModuleHandleA, GetStartupInfoA, Sleep<br>> msvcp60.dll: __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBDABV_$allocator@D@1@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV_$allocator@D@1@@Z, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIABV12@I@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _replace@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@IIABV12@@Z, _size@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z, _c_str@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEPBDXZ, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, _length@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ<br>> msvcrt.dll: _controlfp, strlen, _ftime, printf, _except_handler3, atoi, memcpy, __2@YAPAXI@Z, sprintf, malloc, memset, getenv, memmove, strcmp, __CxxFrameHandler, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _stricmp<br>> ole32.dll: CoInitialize<br>> user32.dll: MessageBoxA, DialogBoxParamA<br> <br> ( 0 exports )<br>
TrID&nbsp;&nbsp;: File type identification<br>-
ssdeep: 1536:gGedE/tnbL6jbaYX2TsLr5HVtXHlhn5jN9PuzxNnpTvijbKOEUoCyKG:gGe4nb2yYX2Mr5HvXFRx0xW+UoQG
PEiD&nbsp;&nbsp;: -
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-
[/code]

[msc hotline sat]

Pues un solo antivrius que los detecte no es significativo...



O es muy nuevo y aun no lo conoce nadie, o simplemente las detecciones son falsos positivos de los que los detectan.



Habremos de esperar a mañana, cuando los podamos analizar, de lo cual informaremos



saludos



ms, 2-9-2009

[msc hotline sat]

Monitorizados los dos ficheros recibidos, el ACHAT.EXE parece ser un programa de chateo, que suponemos ha instalado voluntariamente, pero el otro es un gusano:

C:\ARCHIVOS DE PROGRAMA\ACHAT\ACHAT.EXE ---> programa chat

C:\WINDOWS\WINNSRV.EXE ----> worm kolab

Este Kolab es una variante de los que ya conocemos y controlamos con el ELITRIIP como worm.kolab, puede añadirle extension .VIR y tras reiniciar ya no se pondrá en uso.

Esta tarde subiremos a esta web la version 6.02 del ELITRIIP.EXE que ya lo controlará y eliminará:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp


Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 3-9-2009

[msc hotline sat]

Monitorizando este gusano e infectando un pendrive , hemos visto que crea en él un fichero de nombre raro , asi que si el ELITRIIP detecta en un ordenador este worm kolab, es muy importante procesar el pendrive con el ELIPEN, pues de lo contrario podría quedar vivo y activo en dicho pendrive.

Información al respecto:
Al infectar un pendrive con dicho virus, crea una carpeta oculta con el nombre DRIVER y dentro de ella otra tambien oculta y con atributos de papelera, con el nombre de USB, en la que copia un fichero oculto de nombre :

ŠŒ Œ‹šÑŒ†Œ

que es copia del gusano que con esta variante se crea como C:\WINDOWS\WINNSRV.EXE y se instala en el registro

Con el nuevo ELITRIIP limpiaremos este virus del ordenador, pero los pendrives, al ser de nombre ilegible, deberemos usar el ELIPEN, que anulará el AUTORUN.INF, con lo que quedará inutilizado el virus.

Es otra historia de la ejecución con OPEN en el AUTORUN.INF ...

OPEN=\DRIVER\USB\ŠŒ Œ‹šÑŒ†Œ

Así que con el ELIPEN anularemos el AUTORUN.INF renombrandolo a AUTORUN.INF.OLD, y así se acabará el virus su funcionamiento en dicho pen.

saludos

ms, 3-9-2009

[josema77]

despues de pasar el Elitriip, borro el gusano que habian dicho.
Os envio el log

Código: Seleccionar todo

	(4-9-2009  13:44:58) (GMT)
EliTriIP v6.03  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WINNSRV.EXE --> Net-Worm.Kolab.DOF Renombrado a .VIR
Entrada Eliminada [HKLM\...\Run] "Microsoft Windows DNS Service"="winnsrv.exe"
Eliminado Servicio, "SCardSvr"
Reinicie para Completar la Limpieza.

	(4-9-2009  13:49:05) (GMT)
EliTriIP v6.03  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WINNSRV.EXE.VIR --> Eliminado

	(4-9-2009  13:49:33) (GMT)
EliTriIP v6.03  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

	(4-9-2009  13:58:20) (GMT)
EliTriIP v6.03  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):

	(4-9-2009  13:58:21) (GMT)
EliTriIP v6.03  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Septiembre del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\RECYCLER\S-1-5-21-1417001333-573735546-839522115-500\Dc3.exe --> Eliminado, Net-Worm.Kolab.DOF
C:\RECYCLER\S-1-5-21-1417001333-573735546-839522115-500\Dc4\winnsrv.exe --> Eliminado, Net-Worm.Kolab.DOF

Nº Total de Directorios:   9855
Nº Total de Ficheros:      111151
Nº de Ficheros Analizados: 36655
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  2

[msc hotline sat]

Pues ya solo te queda procesar con el ELIPEN los pendrives que tengas, probandolo, escogiendo la unidad donde tengas insertado el pen y pulsando en procesar, e ir cambiando los pendrives y procesandolos todos.



Luego nos posteas de nuevo el infosat para ver que han quedado vacunados y eliminado dicho virus de los pen, y ya podremos dar por solucionado el Tema, si no opinas lo contrario, claro



saludos



ms, 4-9-2009

[josema77]

Listo, la maquina va bien, borro el gusano y la conexion a internet funciona bien. Creo que se puede dar por [b]solucionado[/b] el post.

Muchas gracias por todo.



Salud!! :D

[flacoroo]

Damos por solucionado el problema, lo cerramos....

[msc hotline sat]

Bien, pero no hemos visto el infosat con el ELIPEN. Si no lo hubiera hecho, lance el ELIPEN sobre las unidades pendrive, para eliminar los AUTORUN.INF que hubiera, y dejarlas vacunadas contra tanto virus de pendrive como hay.



Entendemos que ya con ello quedará solucionado el Tema, y si necesita algo mas de nosotros, ya sabe donde estamos



saludos



ms, 7-9-2009