problemas al inicio (CERRADO)

[exitista]

Logfile de Trend Micro HijackThis v2.0.2

Scan saved at 01:14:49 am, en 02/10/2009

Plataforma: Windows XP SP3 (WinNT 5.01.2600)

MSIE: No se puede obtener la versión de Internet Explorer!

Modo de arranque: Normal



Los procesos de ejecución:

C: \ WINDOWS \ System32 \ smss.exe

C: \ WINDOWS \ system32 \ winlogon.exe

C: \ WINDOWS \ system32 \ services.exe

C: \ WINDOWS \ system32 \ lsass.exe

C: \ WINDOWS \ system32 \ svchost.exe

C: \ WINDOWS \ system32 \ svchost.exe

C: \ Archivos de programa \ Alwil Software \ Avast4 \ aswUpdSv.exe

C: \ WINDOWS \ Explorer.EXE

C: \ Archivos de programa \ Alwil Software \ Avast4 \ ashServ.exe

C: \ WINDOWS \ system32 \ rundll32.exe

C: \ WINDOWS \ system32 \ restorer32_a.exe

C: \ ARCHIV ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe

C: \ Archivos de programa \ Windows Live \ Messenger \ msnmsgr.exe

C: \ WINDOWS \ system32 \ svchost.exe

C: \ WINDOWS \ system32 \ svchost.exe

C: \ WINDOWS \ system32 \ svchost.exe

C: \ WINDOWS \ system32 \ svchost.exe

C: \ WINDOWS \ system32 \ svchost.exe

C: \ WINDOWS \ system32 \ svchost.exe

C: \ Archivos de programa \ Java \ jre6 \ bin \ jqs.exe

C: \ WINDOWS \ system32 \ svchost.exe

C: \ Archivos de programa \ Alwil Software \ Avast4 \ ashMaiSv.exe

C: \ Archivos de programa \ Alwil Software \ Avast4 \ ashWebSv.exe

C: \ WINDOWS \ system32 \ wuauclt.exe

C: \ WINDOWS \ system32 \ Ntvdm.exe

\ Administrador \ Configuración local C: \ Usuarios \ Datos de programa \ Google \ Chrome \ Application \ chrome.exe

C: \ WINDOWS \ system32 \ cmd.exe

C: \ WINDOWS \ system32 \ ping.exe

\ Administrador \ Configuración local C: \ Usuarios \ Datos de programa \ Google \ Chrome \ Application \ chrome.exe

C: \ Archivos de programa \ Trend Micro \ HijackThis \ HijackThis.exe



R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.managerzone.com.ar/

- R1 HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=69157

- R1 HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant =

R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =

R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Window Title = Style ® ™ XP SP3

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName = Vínculos

- R3 BHO: SearchSettings Class - (E312764E-7706-43F1-8DAB-FCDD2B1E416D) - C: \ Archivos de programa \ Configuración de búsqueda \ kb128 \ SearchSettings.dll

O2 - BHO: Dealio Toolbar - (01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C) - C: \ Archivos de programa \ Dealio Toolbar \ DealioToolbarIE.dll

O2 - BHO: (no name) - (045E2690-BA46-4C01-8195-36177E65DE60) - C: \ windows \ system32 \ husalzg.dll (file missing)

O2 - BHO: Groove GFS Browser Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ Archivos de programa \ Microsoft Office \ Office12 \ GrooveShellExtensions.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll

O2 - BHO: Java (TM) Plug-In 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Archivos de programa \ Java \ jre6 \ bin \ jp2ssv.dll

O2 - BHO: SearchSettings Class - (E312764E-7706-43F1-8DAB-FCDD2B1E416D) - C: \ Archivos de programa \ Configuración de búsqueda \ kb128 \ SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Archivos de programa \ Java \ jre6 \ lib \ deploy \ JQS \ IE \ jqs_plugin.dll

O3 - Toolbar: Dealio Toolbar - (01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C) - C: \ Archivos de programa \ Dealio Toolbar \ DealioToolbarIE.dll

O4 - HKLM \ .. \ Run: [CALC] rundll32.exe C: \ WINDOWS \ system32 \ calc.dll, _IWMPEvents @ 0

O4 - HKLM \ .. \ Run: [restorer32_a] C: \ WINDOWS \ system32 \ restorer32_a.exe

O4 - HKLM \ .. \ Run: [Regedit32] C: \ WINDOWS \ system32 \ regedit.exe

O4 - HKLM \ .. \ Run: [avast!] C: \ ARCHIV ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe

O4 - HKCU \ .. \ Run: [Skype] "C: \ Archivos de programa \ Windows Live \ Messenger \ msnmsgr.exe" / background

O4 - HKCU \ .. \ Run: [CALC] rundll32.exe C: \ Usuarios \ ADMINI ~ 1 \ ntuser.dll, _IWMPEvents @ 0

O4 - HKCU \ .. \ Run: [restorer32_a] C: \ Usuarios \ Administrador \ restorer32_a.exe

O4 - HKUS \ S-1-5-19 \ .. \ Run: [TaskSwitchXP] C: \ Archivos de programa \ TaskSwitchXP \ TaskSwitchXP.exe SERVICIO (User '')

O4 - HKUS \ S-1-5-20 \ .. \ Run: [TaskSwitchXP] C: \ Archivos de programa \ TaskSwitchXP \ TaskSwitchXP.exe Servicio (User '')

O4 - HKUS \ S-1-5-18 \ .. \ Run: [TaskSwitchXP] C: \ Archivos de programa \ TaskSwitchXP \ SYSTEM TaskSwitchXP.exe (User '')

O4 - HKUS \ S-1-5-18 \ .. \ Run: [mserv] C: \ WINDOWS \ system32 \ config \ systemprofile \ Datos de programa \ seres.exe (User '')

O4 - HKUS \ S-1-5-18 \ .. \ Run: [svchost] C: \ WINDOWS \ system32 \ config \ systemprofile \ Datos de programa \ svcst.exe (User '')

O4 - HKUS \ S-1-5-18 \ .. \ Run: [_nltide_3] rundll32 advpack.dll, LaunchINFSectionEx nLite.inf, C,, 4, N (User '')

O4 - HKUS \. DEFAULT \ .. \ Run: [TaskSwitchXP] C: \ Archivos de programa \ TaskSwitchXP \ TaskSwitchXP.exe de usuario (User 'Default')

O4 - HKUS \. DEFAULT \ .. \ Run: [_nltide_3] rundll32 advpack.dll, LaunchINFSectionEx nLite.inf, C,, 4, N (User 'Default user'),

O8 - Extra context menu item: E & xportar a Microsoft Excel - res: / / C: \ ARCHIV ~ 1 \ MICROS ~ 2 \ Office12 \ EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ ARCHIV ~ 1 \ MICROS ~ 2 \ Office12 \ ONBttnIE.dll

O9 - Extra button: & Enviar a OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ ARCHIV ~ 1 \ MICROS ~ 2 \ Office12 \ ONBttnIE.dll

O9 - Extra button: PokerStars - (3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF) - C: \ Archivos de programa \ PokerStars \ PokerStarsUpdate.exe

O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ ARCHIV ~ 1 \ MICROS ~ 2 \ Office12 \ REFIEBAR.DLL

O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe

O9 - Extra button: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe

O16 - DPF: (4BFD075D-C36E-4F28-BB0A-5D472795197A) (PowerLoader Class) - http://download05.managerzone.com/soccer-3d/PowerLoader.cab

- O18 Protocolo: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ Archivos de programa \ Microsoft Office \ Office12 \ GrooveSystemServices.dll

- O18 Protocolo: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ ARCHIV ~ 1 \ ARCHIV ~ 1 \ Skype \ SKYPE4 ~ 1.DLL

O20 - Winlogon Notify: yhbwecat - husalzg.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Archivos de programa \ Alwil Software \ Avast4 \ aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C: \ Archivos de programa \ Alwil Software \ Avast4 \ ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Archivos de programa \ Alwil Software \ Avast4 \ ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Archivos de programa \ Alwil Software \ Avast4 \ ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C: \ Archivos de programa \ Java \ jre6 \ bin \ jqs.exe

O23 - Service: Servicio de nProtect GameGuard (npggsvc) - Unknown owner - C: \ WINDOWS \ system32 \ GameMon.des.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C: \ Archivos de programa \ WinPcap \ rpcapd.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C: \ WINDOWS \ system32 \ TuneUpDefragService.exe



--

Fin de archivo - 7536 octetos



hola tengo un virus en el sistema de 32 y no lo puedo borrar con el antivirus (Avast) ... es un virus q se inicia al iniciar el sistema valga la redundancia



ayudenmeeee



graciass

[msc hotline sat]

vEMOS ESTE FICHERO SOSPECHOSO:



C:\WINDOWS\system32\restorer32_a.exe





y estos otros dos justamente son variantes de otros que estamos analizando actualmente en un FAKE ALERT del "Antivirus 2010":



C:\WINDOWS\system32\config\systemprofile\Datos de programa\seres.exe



C:\WINDOWS\system32\config\systemprofile\Datos de programa\svcst.exe





y estos son otros sospechosos:



C:\WINDOWS\system32\calc.dll



C:\Usuarios\ADMINI~1\ntuser.dll





ENVIENOSLOS TODOS PARA ANALIZAR







y estas claves pueden ser maliciosas, si no son voluntarias, eliminelas:



R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb128\SearchSettings.dll



O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb128\SearchSettings.dll





y esta parece inutil si, como parece, se ha eliminado el fichero husalzg.dll, ELIMINE DICHA CLAVE, sino envienoslo para analizar:



O20 - Winlogon Notify: yhbwecat - husalzg.dll (file missing)





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 2-10-2009

[exitista]

graciass



los dos q me dijiste q estan analizando no los toke...



y estos dos q dijiste q eran sospechosos



"

y estos son otros sospechosos:



C:\WINDOWS\system32\calc.dll



C:\Usuarios\ADMINI~1\ntuser.dll"



al borrarlos me cerraba el hijack y me cerraba el explorador y me decia q reinicie la pc...



la reiniciaba y no estaban borrados... :?



bueno gracias de nuevooo

[exitista]

ah perdon me olvidaba...



me kedo asi el log:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:03:41 p.m., on 02/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Usuarios\Administrador\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\Usuarios\Administrador\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.managerzone.com.ar/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = XP®Style™ SP3

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Archivos de programa\Dealio Toolbar\DealioToolbarIE.dll

O2 - BHO: (no name) - {045E2690-BA46-4C01-8195-36177E65DE60} - c:\windows\system32\husalzg.dll (file missing)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Archivos de programa\Dealio Toolbar\DealioToolbarIE.dll

O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [calc] rundll32.exe C:\Usuarios\ADMINI~1\ntuser.dll,_IWMPEvents@0

O4 - HKCU\..\Run: [restorer32_a] C:\Usuarios\Administrador\restorer32_a.exe

O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [mserv] C:\WINDOWS\system32\config\systemprofile\Datos de programa\seres.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [svchost] C:\WINDOWS\system32\config\systemprofile\Datos de programa\svcst.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - S-1-5-18 Startup: scandisk.dll (User 'SYSTEM')

O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM')

O4 - .DEFAULT Startup: scandisk.dll (User 'Default user')

O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user')

O4 - Startup: scandisk.dll

O4 - Startup: scandisk.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Archivos de programa\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://download05.managerzone.com/soccer-3d/PowerLoader.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe



--

End of file - 7071 bytes



saludos

[msc hotline sat]

Decíamos que nos enviara estos ficheros::


[quote]vEMOS ESTE FICHERO SOSPECHOSO:



C:\WINDOWS\system32\restorer32_a.exe





y estos otros dos justamente son variantes de otros que estamos analizando actualmente en un FAKE ALERT del "Antivirus 2010":



C:\WINDOWS\system32\config\systemprofile\Datos de programa\seres.exe



C:\WINDOWS\system32\config\systemprofile\Datos de programa\svcst.exe





y estos son otros sospechosos:



C:\WINDOWS\system32\calc.dll



C:\Usuarios\ADMINI~1\ntuser.dll





ENVIENOSLOS TODOS PARA ANALIZAR[/quote]



Y no me consta que se haya recibido nada con su nick ... ???



A pesar de ello, como que hoy se han recibido otras muestras de seres.exe, descargue la version actual del ELISTARA y tras probarla, posteenos el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y si quiere que analicemos otro log, hagalo con el SPROCES, como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=13&t=29543



es mas completo y nos informa mas exhaustivamente.



saludos



ms, 2-10-2009

[exitista]

aca esta



(3-10-2009 23:44:46 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows XP Style™ (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: WENDER

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\USUARIOS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES.EXE

C:\USUARIOS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\USUARIOS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\USUARIOS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.managerzone.com.ar/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Archivos de programa\Dealio Toolbar\DealioToolbarIE.dll

O2 - BHO: (no name) - {045E2690-BA46-4C01-8195-36177E65DE60} - c:\windows\system32\husalzg.dll (file missing)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Archivos de programa\Dealio Toolbar\DealioToolbarIE.dll

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [calc] rundll32.exe C:\Usuarios\ADMINI~1\ntuser.dll,_IWMPEvents@0

O4 - HKCU\..\Run: [restorer32_a] C:\Usuarios\Administrador\restorer32_a.exe

O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - Startup: desktop.ini

O4 - Startup: ..

O4 - Startup: ..

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Archivos de programa\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://download05.managerzone.com/soccer-3d/PowerLoader.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BOClean Kernel Monitor. (BOCDRIVE) - Unknown owner - C:\Archivos de programa\Comodo\CBOClean\BOCDRIVE.sys (file missing)

O23 - Service: ddsxeiservice2 (ddsxeiservice) - Unknown owner - C:\Archivos de programa\sXe Injected\ddsxei.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: VIA Rhine-Family Fast-Ethernet Adapter Driver Service (FET5X86V) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5bv.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: Motorola SURFboard USB Cable Modem Windows Driver (ndiscm) - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NetMotCM.sys

O23 - Service: NetGroup Packet Filter Driver (NPF) - CACE Technologies - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: nProtect GameGuard Service (npggsvc) - INCA Internet Co., Ltd. - C:\WINDOWS\system32\GameMon.des

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\WINDOWS\SYSTEM32\%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics Co, Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys

O23 - Service: Vinyl AC'97 Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\vinyl97.sys

O23 - Service: XDva224 - Unknown owner - C:\WINDOWS\system32\XDva224.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)



26 Servicios.

6 de Carga Automatica.

18 de Carga Manual.

2 Deshabilitados.

[exitista]

el avast me dice q mi memoria esta infectada y me tira un virus... q no me deja elminar ni mover al baul

[exitista]

el nombre del archivo es c:\windows\system32\gasfkylewjvpyi.dll



nombre del malware es Win32:Alureon-DA [Rtk]



tipo de software perjudicial es Rootkit (Encubridor)

[msc hotline sat]

Pues envienos estos ficheros para analizar:



C:\Archivos de programa\Dealio Toolbar\DealioToolbarIE.dll



C:\Usuarios\ADMINI ~ 1\ntuser.dll



C:\WINDOWS\system32\calc.dll







Y puede eliminar esta clave:



O2 - BHO: (no name) - (045E2690-BA46-4C01-8195-36177E65DE60) - C:\windows\system32\husalzg.dll (file missing)





y al respecto de lo que dice haber detectado, envienoslo, y para ello arranque en MODO SEGURO , y con el ELIMOVER lo copia a la carpeta C:\muestras desde donde tras reiniciar nos lo podrá enviar para su analisis y control, tras lo cual informaremos


[quote]
ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp





y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware
[/quote]

Con un copiar y pegar inserta la linea siguiente en el ELIMOVER:



[b][i]c:\windows\system32\gasfkylewjvpyi.dll[/i][/b]



Y recuerde:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 4-10-2009

[exitista]

me dicen envien estos ficheros para ser analizados.... pero como los envio?



graciass

[msc hotline sat]

Mira la parte final de mi anterior post ...



Allí se indica, los empaquetas en un ZIP o RAR con password VIRUS y los envias pulsando el botón de "ENVIO MUESTRAS" situado en la parte superior derecha de esta pantalla.



saludos



ms, 4-10-2009

[exitista]

no me deja iniciar en modo seguro pq dice q tengo un virus!!!

[exitista]

C:\Usuarios\ADMINI ~ 1\ntuser.dll



C:\WINDOWS\system32\calc.dll



esos dos q me pediste q te envie... no estan!!



el otro te lo envie



saludos

[msc hotline sat]

Pues si no los encuentras, mira con el ELIMOVER, indicando



C:\WINDOWS\system32\calc.dll



C:\Usuarios\ADMINI~1\ntuser.dll



y marca la casilla para que les añada .VIR



a ver si asi los encuentras y nos los puedes enviar.





y a lo mejor el rootkit que dices nos envias está escondiendo los ficheros. Añade .VIR al gasfkylewjvpyi.dll que dices habernos enviado, a ver si asi, tras reiniciar ya no se pone en uso y deja de incordiar :)







y por si no lo sabes, el lunes 12 de Octubre es fiesta en España, asi que recibiremos los ficheros el martes, que es cuando los podremos procesar.



saludos



ms, 9-10-2009

ref AR/BA-34.58-58.67

[exitista]

bueno ahora voy a intentar hacer lo q me has dicho...



y si sabia q en españa es un dia festivo... aca en argentina tambien se festeja como dia feriado la llegada de colon a america... QUE FUE CUAN CUANDO VINO A MATAR A NUESTROS PRECIADOS INDIOS Y ACABAR CON ELLOS..



MUY DICHOSA CELEBRACION



GRACIAS DE NUEVO

[exitista]

C:\Archivos de programa\Dealio Toolbar\DealioToolbarIE.dll



C:\Usuarios\ADMINI ~ 1\ntuser.dll



C:\WINDOWS\system32\calc.dll



esos tres ficheros te los envie en zip



el q no me deja es el malware : c:\windows\system32\gasfkylewjvpyi.dll



y en modo seguro no me deja entrar... y el elimover no lo encuentra...y no entendi lo q dijiste de .vir.. SI TE REFERIAS DE PINCHAR EL CUADRADITO .VIR DENTRO DEL ELIMOVER Y BUSCAR EL MALWARE ESE YA LO HE HECHO Y NO HA SERVIDO...



GRACIAS

[msc hotline sat]

Sí, este [b][i]c:\windows\system32\gasfkylewjvpyi.dll[/i][/b] convendría añadirle extension .VIR y moverlo a C:\muestras, asi quedaría en cuarentena y el fichero original ya no se ejecutaría, con lo indicado de la casilla del ELIMOVER. (y desde C:\muestras nos lo podrías enviar para analizar)



Repite la operación pero arrancando en modo seguro, pulsando repetidamente F8 al arrancar y escogiendo dicha opcion, a ver si asi no entra el rootkit en marcha y con el ELIMOVER puedes hacer lo indicado.



Debe ser un nombre variable, pues en Internet no hay datos del mismo, por ello tenemos que analizar la muestra para pasar a controlarlo independientemente del nombre.



A ver si lo logras, si todavía lo tienes es muy importante hacer lo indicado.



saludos



ms, 10-10-2009





NOTA: Y totalmente de acuerdo contigo en la masacre de las "colonizaciones" . Todas las ocupaciones por la fuerza, sean de italianos como Colon, de alemanes como Hitler, o de algunos mas recientes, [b][i]"de cuyo nombre no quiero acordarme" [/i][/b] :) , son reprobables. ms.

[msc hotline sat]

Y veo que dices que no puedes arrancar en modo seguro... pues pruebalo tras probar el ELISTARA o el ELIBAGLA, da igual, ambos restaurarn las claves del SAFEBOOT en el registro, acepta y antes de explorar, enseguida reinicia y prueba si entonces puedes arrancar en modo seguro. Pero rapidillo, porque seguro que, con el virus en memoria, periodicamente comprueba dicha clave y, si se ha restaurado, la vuelve a cambiar.


[quote][b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y como que lo controlas con el avast, si ni en modo seguro lo encuentra el ELIMOVER, mira si el avast todavía lo detecta, no sea que ya lo haya eliminado !


[quote]el avast me dice q mi memoria esta infectada y me tira un virus... q no me deja elminar ni mover al baul



el nombre del archivo es c:\windows\system32\gasfkylewjvpyi.dll



nombre del malware es Win32:Alureon-DA [Rtk]



tipo de software perjudicial es Rootkit (Encubridor)
[/quote]

Otro sistema sería arrancar con el CD de instalacion, pulsar R para entrar en consola de recuperacion y desde alli entrar:



REN  c:\windows\system32\gasfkylewjvpyi.dll  c:\windows\system32\gasfkylewjvpyi.dll.vir   <ENTER>



MD  c:\muestras   <ENTER>



copy c:\windows\system32\gasfkylewjvpyi.dll.VIR  C:\muestras   <ENTER>







Luego sacas el CD y reinicias normalmente, ya no se cargará el rootkit y tendrás en fichero en c:\muestras para enviarnoslo





saludos



ms, 10-10-2009

[exitista]

(9-10-2009 22:40:39)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Usuarios\ADMINI~1\ntuser.dll" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\calc.dll" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\calc.dll" -> Copiado a "C:\Muestras"



(10-10-2009 13:48:22 (GMT))

EliStartPage v19.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v19.43

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SVCHOST.EXE --> Eliminado

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(10-10-2009 13:49:17 (GMT))

EliStartPage v19.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\I6F4CN3I\INSTALL[1].EXE --> Eliminado, AntivirusPro2010(dldr)

C:\WINDOWS\system32\config\systemprofile\Datos de programa\LIZKAVD.EXE --> Eliminado, AntivirusPro2010(dldr)



Nº Total de Directorios: 5330

Nº Total de Ficheros: 62996

Nº de Ficheros Analizados: 9986

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(10-10-2009 13:55:01 (GMT))

EliStartPage v19.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2009)

[msc hotline sat]

Pues hemos encontrado algo mas, un fake alert nuevo que ya hemos eliminado y este que hemos de analizar para pasar a controlar:



Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v19.43





recuerde:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 10-10-2009











NOTA: Y ni en modo seguro ha encontrado el c:\windows\system32\gasfkylewjvpyi.dll ???



ms.

[exitista]

no me deja entrar en modo segurooooo.... me dice q hay viruss!!!



voy a probar lo de consola de recuperacion y te aviso



graciass



mil gracias

[exitista]

ya les mande la muestra de C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v19.43



suerte

[exitista]

hola nose q habre tocado pero ese rootkit ha desaparecido... debe ser q segui los pasos q ustedes me indicaron y se ha ido



la verdad muchas gracias



lastima q no me ha dejado mandarla antes de q desaparezca asi la podian analizar....pero intente como ustedes me dijeron y no se podia mandar de ninguna forma



pero bueno ya no esta mas =D



mi log ha kedado asi



(10-10-2009 17:33:07 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows XP Style™ (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: WENDER

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\USUARIOS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\USUARIOS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\USUARIOS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe sfsp.cfo beforegttav

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Archivos de programa\Dealio Toolbar\DealioToolbarIE.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Archivos de programa\Dealio Toolbar\DealioToolbarIE.dll

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [calc] rundll32.exe C:\Usuarios\ADMINI~1\ntuser.dll,_IWMPEvents@0

O4 - HKCU\..\Run: [restorer32_a] C:\Usuarios\Administrador\restorer32_a.exe

O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - Startup: desktop.ini

O4 - Startup: ..

O4 - Startup: ..

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Archivos de programa\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://download05.managerzone.com/soccer-3d/PowerLoader.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BOClean Kernel Monitor. (BOCDRIVE) - Unknown owner - C:\Archivos de programa\Comodo\CBOClean\BOCDRIVE.sys (file missing)

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: VIA Rhine-Family Fast-Ethernet Adapter Driver Service (FET5X86V) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5bv.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: Motorola SURFboard USB Cable Modem Windows Driver (ndiscm) - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NetMotCM.sys

O23 - Service: NetGroup Packet Filter Driver (NPF) - CACE Technologies - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: nProtect GameGuard Service (npggsvc) - INCA Internet Co., Ltd. - C:\WINDOWS\system32\GameMon.des

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\WINDOWS\SYSTEM32\%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics Co, Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys

O23 - Service: Vinyl AC'97 Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\vinyl97.sys

O23 - Service: XDva224 - Unknown owner - C:\WINDOWS\system32\XDva224.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)



26 Servicios.

7 de Carga Automatica.

17 de Carga Manual.

2 Deshabilitados.



UN ABRAZO Y MIL GRACIAS



EXITOS

[lucl]

Aun asi dices que has enviado una muestra que hasta el lunes no se analizara. Estate pendiente del foro entonces para que te digan el resultado y rematar el trabajo del todo, saludos.

[msc hotline sat]

El lunes no, que es festivo, será el martes, lucl ! :)



Pero ademas del fichero enviado, necesitamos que nos envies otros que vemos en el log:



estas claves son atipicas y sospechosas:



O4 - HKCU\..\Run: [calc] rundll32.exe C:\Usuarios\ADMINI~1\ntuser.dll,_IWMPEvents@0

O4 - HKCU\..\Run: [restorer32_a] C:\Usuarios\Administrador\restorer32_a.exe

O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0



los ficheros que lanzan, enviennoslos para analizar



[b][i] C:\Usuarios\ADMINI~1\ntuser.dll

C:\Usuarios\Administrador\restorer32_a.exe

C:\WINDOWS\system32\calc.dll [/i][/b]



Tambien estos otros sospechosos:



[b][i]C:\WINDOWS\SYSTEM32\drivers\npf.sys

c:\windows\system32\mssrv32.exe[/i][/b]



y esta clave lanza este sfsp.cfo que tambien es raro, envianoslo tambien:



F2 REG: system.ini: Shell = Explorer.exe rundll32.exe sfsp.cfo beforegttav



seguramente este estará en:



[b][i] C:\windows\system32\sfsp.cfo[/i][/b]





Pues envienos todos estos, como ya sabe hacer, y los analizaremos ... parece que estamos ante un bicho gordo !



saludos



ms, 10-10-2009

[msc hotline sat]

Ojo, vemos que alguno de los indicados los tendrá en C:\muestras, gracias al ELIMOVER:



(9-10-2009 22:40:39)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Usuarios\ADMINI~1\ntuser.dll" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\calc.dll" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\calc.dll" -> Copiado a "C:\Muestras"





cojalos de allí para enviarnoslos . ms.

[exitista]

hola q tal....disculpen pero formatie la pc... me habia entrado el malware conocido como "windows police pro"



logre sacarlo....pero ya estaba podrido q cada vez aparecia uno nuevo



suerte

[msc hotline sat]

Es una pena, pero Vd manda !



Formateado el sistema, procedemos a cerrar el Tema



saludos



ms, 13-10-2009