Eliminacion Rootkit.Agent y Backdoor.Bot (SOLUCIONADO)

[Fiq]

Hola,

Me avisaron de que el ordenador en cuestion ya no abria el messenger y tras las pertinentes cuestiones pude saber que habia llegado un mensaje de un amigo (con el que hacia bastante que no hablaba) por el messenger en el que le ofrecia una foto en RAR. El usuario en cuestion acepto dicho archivo (sigue asegurando que no instalo nada, como si un virus fuese a pedir permiso :? ) y el messenger se colgo y acabo reiniciando el ordenador.



Lo primero que vi es que el avira y el spybot (le tenia instalados esos dos programas y el spyblaster como porteccion) estaban inhabilitados. El restaurar sistema esta en gris (http://img260.imageshack.us/i/restaurarsistema.jpg/) por lo que no puedo tocarlo, aunque no se si tiene que ver (por desgracia no controlo tanto :| ). Tampoco me permitia entrar en modo seguro.



Lo primero que hice fue desinstalar lo que me parecio que no debia estar, limpiar con el Ccleaner, reinstalar spybot y meter el nod32 y el adaware. Con esto acabe consiguiendo limpiar varias cosas:
[quote]archivos infectados: *\phygw.exe , *\pbrev.exe, *\qtllrtp

virus detectados: Win32/Autorun.IRCBot.DI, Win32/Agent.OSE, Win32/TCPZ.D y Win32/Rootkit.Kryptic.AA[/quote]

Leyendo su foro descubri el Malwarebytes y tambien lo pase. El resultado es que sigue detectando dos virus:
[quote]*\ndisvvan.sys (Rootkit.Agent) y *\secupdat.dat (Backdoor.Bot)[/quote] (permitanme remarcar que el 1º es con dos "v" en lugar de una"w".



Aunque le doy a eliminar tras el reinicio como indica el programa, no los ha conseguido eliminar ni en modo normal ni en modo a prueba de fallos, porque se supone que estan en uso o bloqueados. Tampoco he podido con el unlocker, con el "triturador" del spybot, con el eliminador de archivos del tuneup ni pasando antivirus online ([url=https://foros.zonavirus.com/viewtopic.php?f=6&t=5369]Complemento al tutorial de spyware[/url], donde, por cierto, el enlace nuevo del primero es: [url]http://cainternetsecurity.net/entscanner/[/url]). La herramienta Mcafee Rootkit Detective 1.1.0.1 no detecta nada, el nod y el adaware, tampoco. Solo lo hace el malwarebytes.



He intentado mover, copiar, renombrar y hasta comprimir los archivos que indica el malwarebytes, pero no me deja hacer nada con ellos (por ello no los puedo agregar a este ladrillo). Tambien he intentado subirlos a virustotal, pero me pone [quote]0 bytes size received / Se ha recibido un archivo vacio[/quote] aunque si tienen peso en el ordenador. Tampoco he conseguido borrarlos con el simbolo del sistema (no he podido acceder a la consola de recuperacion por no tener un cd de windows).



Espero que puedan ayudarme o darme algun consejo sobre como proceder. A continuacion les pongo los informes del malwarebytes y del HJT.



Muchas gracias.


[quote]Malwarebytes' Anti-Malware 1.41

Versión de la Base de Datos: 3237

Windows 5.1.2600 Service Pack 3 (Safe Mode)



26/11/2009 17:16:23

mbam-log-2009-11-26 (17-16-23).txt



Tipo de examen : Examen Completo (C:\|D:\|E:\|F:\|G:\|H:\|)

Objetos examinados: 176967

Tiempo transcurrido: 13 minute(s), 54 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 2



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)



Valores del Registro Infectados:

(No se han detectado elementos maliciosos)



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

C:\WINDOWS\system32\drivers\ndisvvan.sys (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> Delete on reboot.
[/quote]
[quote]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:25:57, on 26/11/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode with network support



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

c:\Archivos de programa\Microsoft Security Essentials\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Aplicación auxiliar de inicio de sesión de Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2009\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')

O4 - Global Startup: Windows Search.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {E6BB2089-163F-466B-812A-748096614DFD} (CAScanner Control) - http://cainternetsecurity.net/scanner/cascanner.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe



--

End of file - 5914 bytes
[/quote]

[msc hotline sat]

Con tantas cosas que has hecho (ninguna aconsejada por nosotros) si tenías alguna pista para seguir, posiblemente la hayas eliminado...





Prueba el SPROCES y posteanos el informe resultante, es mas exhaustivo que el del HJT y quizás podamos ver algo allí







[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar





Aparte puedes mirar si con el ELISTARA corrige alguna clave que estuviera modificada a pesar de lo que hiciste, y si bien eliminaras ficheros,dejaras restos, que no son visibles en los logsm pero si sus efectos...




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 26-11-2009







NOTA: Y como que hablas de virus que ademas, se propagan por pendrive:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

ms.

[Fiq]

el sproces lo paso en modo seguro o normal?

[msc hotline sat]

Mejor en MODO SEGURO, para eludir posibles Rotkits, si bien algunos ni así ... :?



saludos



ms, 27-11-2009

[Fiq]

no funciona lo de los codigos de las descargas. Siento la espera...

[msc hotline sat]

Pues envia el mail que se indica en las incidencias (donde habla de los SMS) para que lo corrijan, sé que hoy 27 habían cambios, igual están en ello



saludos



ms, 27-11-2009

[Fiq]

¿espero a pasar el elistara hasta que me digan o lo voy haciendo mientras estudian el sprolog? si tengo que irlo pasando, ¿luego paso de nuevo el sproces y pongo el log aqui?

gracias



el log del sproces (sin los host por la limitacion de caracteres):
[quote](27-11-2009 15:37:30 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: PC-CB10564BBD3D

Nombre Usuario: pilar



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SECURITY ESSENTIALS\MSMPENG.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\PILAR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,



O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Aplicación auxiliar de inicio de sesión de Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2009\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - Global Startup: Windows Search.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file)

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - (no file)

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: 16d17 - Unknown owner - C:\WINDOWS\system32\16d17.sys (file missing)

O23 - Service: 17c13 - Unknown owner - C:\WINDOWS\system32\17c13.sys (file missing)

O23 - Service: 1cf8 - Unknown owner - C:\WINDOWS\system32\1cf8.sys (file missing)

O23 - Service: 319D - Unknown owner - C:\WINDOWS\system32\319D.sys (file missing)

O23 - Service: 52e11 - Unknown owner - C:\WINDOWS\system32\52e11.sys (file missing)

O23 - Service: 54c3 - Unknown owner - C:\WINDOWS\system32\54c3.sys (file missing)

O23 - Service: 5f45 - Unknown owner - C:\WINDOWS\system32\5f45.sys (file missing)

O23 - Service: 7279 - Unknown owner - C:\WINDOWS\system32\7279.sys (file missing)

O23 - Service: ac110 - Unknown owner - C:\WINDOWS\system32\ac110.sys (file missing)

O23 - Service: b13C - Unknown owner - C:\WINDOWS\system32\b13C.sys (file missing)

O23 - Service: b864 - Unknown owner - C:\WINDOWS\system32\b864.sys (file missing)

O23 - Service: b9218 - Unknown owner - C:\WINDOWS\system32\b9218.sys (file missing)

O23 - Service: c1eB - Unknown owner - C:\WINDOWS\system32\c1eB.sys (file missing)

O23 - Service: ca919 - Unknown owner - C:\WINDOWS\system32\ca919.sys (file missing)

O23 - Service: cb815 - Unknown owner - C:\WINDOWS\system32\cb815.sys (file missing)

O23 - Service: Kernel Debugging Service (debug32) - Unknown owner - C:\WINDOWS\system32\drivers\debug32.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: e0914 - Unknown owner - C:\WINDOWS\system32\e0914.sys (file missing)

O23 - Service: e34F - Unknown owner - C:\WINDOWS\system32\e34F.sys (file missing)

O23 - Service: e997 - Unknown owner - C:\WINDOWS\system32\e997.sys (file missing)

O23 - Service: EagleNT - Unknown owner - C:\WINDOWS\system32\drivers\EagleNT.sys (file missing)

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: Service for NVIDIA High Definition Audio Driver (NVHDA) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvhda32.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: nvsmu - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvsmu.sys

O23 - Service: Lounge'n'LOOK Cliqcam (PAC207) - PixArt Imaging Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PFC027.SYS

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Network Security Intermediate Filter Service (SymIM) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys (file missing)

O23 - Service: SymIMMP - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys (file missing)

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: LGE Mobile Composite USB Device (usbbus) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbbus.sys

O23 - Service: LGE Mobile USB Serial Port (UsbDiag) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbdiag.sys

O23 - Service: LGE Mobile USB Modem (USBModem) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbmodem.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



56 Servicios.

9 de Carga Automatica.

46 de Carga Manual.

1 Deshabilitados.
[/quote]

Pd: el log completo lo intento subir como muestra...

[Fiq]

he enviado el log comprimido como si fuese una muestra por la de hots que habia.

Excedia los 500k caracteres en lugar del maximo de los 100k...

[msc hotline sat]

Vistos los O10 LSP que no mostraba el HJT, sugiero lanzar un LSPFIX



[url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-Fix[/b][/url]



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-Fix[/b][/url]



Aparte posteenos el contenido de c:\infosat.txt del ELISTARA o anexelo a este fichero, si es demasiado largo debiso a las entradas del HOSTS debidas al SpryBot.



y recuerde que los informes no se deben enviar por mail:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 27-11-2009

[Fiq]

Todo lo que viene en el log del elistara:
[quote]
(27-11-2009 17:13:07 (GMT))

EliStartPage v19.79 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 6063

Nº Total de Ficheros: 53685

Nº de Ficheros Analizados: 17169

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1
[/quote]

el LSP-Fix borro 9 y renumero 18 entradas (o eso ponia :roll: ).

[msc hotline sat]

Bien, pues tras reiniciar dinos si persiste alguna anomalia, y posteanos la primera parte del infosat.txt, la de Analisis por Accion Directa, que el nque has posteado, de EXPLORACION, no lo es todo ...



saludos



ms, 27-11-2009

[Fiq]

al menos ahora ya se puede activar/desactivar la opcion de restaurar sistema.

Los dos archivos que el walwarebytes detectaba como virus siguen estando en drivers y system32, respectivamente. He pasado de nuevo el malwarebytes y me detecta los dos archivos y uno nuevo en documents&settings/usuario. El icono de ese nuevo archivo y el de la carpeta de system32 (secupdat.dat) es el mismo icono del "intervideo windvd". Podria tratarse de un falso positivo? le doy a quitar lo solucionado? paso el sproces de nuevo?

[Fiq]

[quote]Malwarebytes' Anti-Malware 1.41

Versión de la Base de Datos: 3243

Windows 5.1.2600 Service Pack 3 (Safe Mode)



27/11/2009 20:29:51

mbam-log-2009-11-27 (20-29-46).txt



Tipo de examen : Examen Completo (C:\|D:\|E:\|F:\|G:\|H:\|)

Objetos examinados: 177886

Tiempo transcurrido: 27 minute(s), 33 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 3



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)



Valores del Registro Infectados:

(No se han detectado elementos maliciosos)



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

C:\WINDOWS\system32\drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.

C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\pilar\secupdat.dat (Worm.Autorun) -> No action taken.
[/quote]

[msc hotline sat]

Lo que necesitamos son los ficheros sospechosos para analizarlos:



C:\WINDOWS\system32\drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.

C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\pilar\secupdat.dat (Worm.Autorun) -> No action taken.



y añadeles .VIR al final de su extension, asi no se pondrán en marcha tras reiniciar



saludos



ms, 27-11-2009

[Fiq]

me sigue pasando lo mismo que al inicio del hilo: no puedo renombrarlos, comprimirlos, moverlos, copiarlos ni nada con ellos, aunque este en modo seguro...

como podria facilitaroslos?

[msc hotline sat]

Copialos a C:\muestras\ con el ELIMOVER y desde alli los podrás enviar.




[quote]ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de malwares[/quote]

Tras descargar el ELIMOVER, arranca en modo seguro por si hubiera un RootKit por ahí, y lo ejecutas para cada uno, y luego cuando los tengas copiados a C:\muestras, los empaquetas en un ZIP o RAR con password virus y ya puedes arrancar en modo normal y enviarnoslo.



saludos



ms, 27-11-2009





NOTA: En el ELIMOVER le entras uno a uno ruta y nombre de los ficheros, asi para el primero será: [b][i]C:\WINDOWS\system32\drivers\ndisvvan.sys[/i][/b]



ms.

[Fiq]

En modo seguro (sin red ni nada) he abierto el programa, copiado la ruta del archivo y le he dado a mover sin conseguirlo (para ninguno de los tres archivos):

http://img267.imageshack.us/i/mover.jpg/

algun otro metodo o algo que pueda hacerle?

[msc hotline sat]

Vemos en la imagen que no ha marcado la casilla para que sea renombrado a .VIR



Hagalo para los tres, luego reinice y pruebe de nuevo pero ya con los ficheros .VIR



y comentenos el resultado, gracias



saludos



ms, 28-11-2009

[Fiq]

hice ese pantallazo con una de las ultimas pruebas, pero las primeras fueron con la casilla marcada.

De todos modos lo he reintentado ahora mismo y no ha copiado/renombrado ningun archivo ni en la carpeta original de estos ni en la de muestras... El resultado es la misma frase en el programa.

[msc hotline sat]

Pues igual ya no está (compruebalo una vez mas con tu antivirus) o hay un rootkit por ahí que nos impide su acceso.



¿Has hecho lo del ELIMOVER arrancando en MODO SEGURO ???



y en dicho modo, vuelve a probar el SPROCES y nos posteas el informe resultante, o lo añades al post si es demasiado largo.



y no veo el informe por ACCION DIRECTA DEL ELISTARA, posteanos TODO el infosat.txt, si es demasiado largo, anexalo a tu post de respuesta, igual allí vemos la causa del problema ???



saludos



ms, 28-11-2009

[Fiq]

ahora vuelvo a pasar todo...

[msc hotline sat]

Hemos buscado informacion conocida al respecto y vemos en http://www.quickheal.co.in/alerts/nov09/alerts-Trjn-Agent-czpy.asp

datos que nos han llevado a considerar que conviene eliminar estos dos servicios:



Clave: HKLM\System\CurrentControlSet\Services\Passthru

Valor: ImagePath = "system32\DRIVERS\ndisvvan.sys"



Clave: HKLM\System\CurrentControlSet\Services\elkyvbrj

Valor: ImagePath = "System32\Drivers\elkyvbrj.sys"







y es posible que estén relacionados estos ficheros, si encuentra alguno, envienoslos para analizar:



%Temp%\smail.exe

%Temp%\mails.exe

%Userprofile%\eck.exe

%Userprofile%\wxk.exe

%Userprofile%\merae.exe

%System%\avgvmain.exe

%System%\secupdat.dat

%System%\drivers\ndisvvan.sys

%System%\drivers\elkyvbrj.sys



Por cierto, este último fichero elkyvbrj.sys, que debe estar en C:\windows\system32\drivers\ no lo habíamos mencinado antes, mire si lo encuentra ???





saludos



ms, 28-11-2009

[Fiq]

aparte de los archivos que ya se habian mencionado:
[quote]C:\WINDOWS\system32\drivers\ndisvvan.sys

C:\WINDOWS\system32\secupdat.dat

C:\Documents and Settings\pilar\secupdat.dat[/quote]
no he encontrado ninguno de los otros, ni con el motor de busqueda ni de modo manual (viendo archivos ocultos o del sistema).



las claves que me indica las borro con el HJT?



ahora le pongo los informes del sproces y del elistara, aunque sin la parte de host. Los log completos los añado que son demasiado largos...


[quote](28-11-2009 12:36:11 (GMT))

EliStartPage v19.79 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS -->



Linea Eliminada del HOSTS --> 127.0.0.1 www.malwareremovalbot.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-11-2009 12:36:28 (GMT))

EliStartPage v19.79 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6104

Nº Total de Ficheros: 53960

Nº de Ficheros Analizados: 17314

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-11-2009 12:43:24)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Documents and Settings\pilar\secupdat.dat" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\pilar\secupdat.dat" -> NO pudo ser Renombrado a .VIR



(28-11-2009 12:43:56)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Renombrado a .VIR



(28-11-2009 12:44:19)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\drivers\ndisvvan.sys" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\drivers\ndisvvan.sys" -> NO pudo ser Renombrado a .VIR
[/quote]

[Fiq]

[quote](28-11-2009 12:41:42 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: PC-CB10564BBD3D

Nombre Usuario: pilar



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SECURITY ESSENTIALS\MSMPENG.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWTRAY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\DOCUMENTS AND SETTINGS\PILAR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost



O1 - Hosts: 127.0.0.1 www.malwareremovalbot.com

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Aplicación auxiliar de inicio de sesión de Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2009\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - Global Startup: Windows Search.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file)

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab Class) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - (no file)

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: 16d17 - Unknown owner - C:\WINDOWS\system32\16d17.sys (file missing)

O23 - Service: 17c13 - Unknown owner - C:\WINDOWS\system32\17c13.sys (file missing)

O23 - Service: 1cf8 - Unknown owner - C:\WINDOWS\system32\1cf8.sys (file missing)

O23 - Service: 319D - Unknown owner - C:\WINDOWS\system32\319D.sys (file missing)

O23 - Service: 52e11 - Unknown owner - C:\WINDOWS\system32\52e11.sys (file missing)

O23 - Service: 54c3 - Unknown owner - C:\WINDOWS\system32\54c3.sys (file missing)

O23 - Service: 5f45 - Unknown owner - C:\WINDOWS\system32\5f45.sys (file missing)

O23 - Service: 7279 - Unknown owner - C:\WINDOWS\system32\7279.sys (file missing)

O23 - Service: ac110 - Unknown owner - C:\WINDOWS\system32\ac110.sys (file missing)

O23 - Service: b13C - Unknown owner - C:\WINDOWS\system32\b13C.sys (file missing)

O23 - Service: b864 - Unknown owner - C:\WINDOWS\system32\b864.sys (file missing)

O23 - Service: b9218 - Unknown owner - C:\WINDOWS\system32\b9218.sys (file missing)

O23 - Service: c1eB - Unknown owner - C:\WINDOWS\system32\c1eB.sys (file missing)

O23 - Service: ca919 - Unknown owner - C:\WINDOWS\system32\ca919.sys (file missing)

O23 - Service: cb815 - Unknown owner - C:\WINDOWS\system32\cb815.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: e0914 - Unknown owner - C:\WINDOWS\system32\e0914.sys (file missing)

O23 - Service: e34F - Unknown owner - C:\WINDOWS\system32\e34F.sys (file missing)

O23 - Service: e997 - Unknown owner - C:\WINDOWS\system32\e997.sys (file missing)

O23 - Service: EagleNT - Unknown owner - C:\WINDOWS\system32\drivers\EagleNT.sys (file missing)

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce 10/100/1000 Mbps Ethernet (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: Service for NVIDIA High Definition Audio Driver (NVHDA) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvhda32.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: nvsmu - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvsmu.sys

O23 - Service: Lounge'n'LOOK Cliqcam (PAC207) - PixArt Imaging Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PFC027.SYS

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Network Security Intermediate Filter Service (SymIM) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys (file missing)

O23 - Service: SymIMMP - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys (file missing)

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: LGE Mobile Composite USB Device (usbbus) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbbus.sys

O23 - Service: LGE Mobile USB Serial Port (UsbDiag) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbdiag.sys

O23 - Service: LGE Mobile USB Modem (USBModem) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbmodem.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



55 Servicios.

9 de Carga Automatica.

45 de Carga Manual.

1 Deshabilitados.
[/quote]

[Fiq]

estan enviados ya los dos logs juntos comprimidos, con la clave virus como indican para las muestras... (si por añadir no se refiere a eso, digame a que se refiere, por favor...

[msc hotline sat]

Los logs se deben postear en en foro: https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Solo las muestras de ficheros sospechosos son analizados en satinfo, lo demás en el foro, como ha hecho con el log del sproces, pero falta el del infosat.



Voy a ver el del sproces:

[msc hotline sat]

Ya he visto el infosat, que estaba en respuestas anteriores a las ultimas, y que efectivamente está claro que existe, y no puede moverse ni copiarse ni renombrarse...


[quote](28-11-2009 12:43:56)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\secupdat.dat" -> NO pudo ser Renombrado a .VIR



(28-11-2009 12:44:19)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\drivers\ndisvvan.sys" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\drivers\ndisvvan.sys" -> NO pudo ser Renombrado a .VIR[/quote]

Pues mira de detener dichos procesos, con el Administrador de tareas (CTRL -> ALT -> SUP), a ver si asi logras acceder a ellos haciendo lo mismo con el ELIMOVER... y nos los puedes enviar para controlarlos, que están dando mucha guerra ! :?







y del log del sproces, vemos:



Pues aqui tienes dos claves sospechosas:



O4 - Global Startup: Windows Search.lnk



O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - (no file)





SI no son voluntarias o las conoces de algo, eliminalas, pueden ser parte del malware, especialmente la primera, que lanza el link en cada inicio.



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y nos cuentas el resultado, gracias



saludos



ms, 28-11-2009





NOTA: y vemos todos estos restos de otros reinicios, en los que vemos que ya no hay el fichero, pero que cada vez lanza uno nuevo en cada reinicio, y ahi estan las claves "tontas" :



O23 - Service: 16d17 - Unknown owner - C:\WINDOWS\system32\16d17.sys (file missing)

O23 - Service: 17c13 - Unknown owner - C:\WINDOWS\system32\17c13.sys (file missing)

O23 - Service: 1cf8 - Unknown owner - C:\WINDOWS\system32\1cf8.sys (file missing)

O23 - Service: 319D - Unknown owner - C:\WINDOWS\system32\319D.sys (file missing)

O23 - Service: 52e11 - Unknown owner - C:\WINDOWS\system32\52e11.sys (file missing)

O23 - Service: 54c3 - Unknown owner - C:\WINDOWS\system32\54c3.sys (file missing)

O23 - Service: 5f45 - Unknown owner - C:\WINDOWS\system32\5f45.sys (file missing)

O23 - Service: 7279 - Unknown owner - C:\WINDOWS\system32\7279.sys (file missing)

O23 - Service: ac110 - Unknown owner - C:\WINDOWS\system32\ac110.sys (file missing)

O23 - Service: b13C - Unknown owner - C:\WINDOWS\system32\b13C.sys (file missing)

O23 - Service: b864 - Unknown owner - C:\WINDOWS\system32\b864.sys (file missing)

O23 - Service: b9218 - Unknown owner - C:\WINDOWS\system32\b9218.sys (file missing)

O23 - Service: c1eB - Unknown owner - C:\WINDOWS\system32\c1eB.sys (file missing)

O23 - Service: ca919 - Unknown owner - C:\WINDOWS\system32\ca919.sys (file missing)

O23 - Service: cb815 - Unknown owner - C:\WINDOWS\system32\cb815.sys (file missing)



O23 - Service: e0914 - Unknown owner - C:\WINDOWS\system32\e0914.sys (file missing)

O23 - Service: e34F - Unknown owner - C:\WINDOWS\system32\e34F.sys (file missing)

O23 - Service: e997 - Unknown owner - C:\WINDOWS\system32\e997.sys (file missing)

[Fiq]

los unicos procesos que veo con el administrador de tareas son:

http://img194.imageshack.us/i/procesosr.jpg/



como borro las claves que me indica? en el HJT no aparecen y es el unico sitio (aparte del log del sproces) donde he visto que aparezcan asi...



PD: lo de agregar los log de texto, sigo sin entender a que se refiere (para cuando son muy grandes). Quiere decir que los intente subir a megaupload o algo asi?

[msc hotline sat]

Con Ctrl Alt Sup solo ves un proceso en marcha ???





Bueno, puedes eliminar las claves con el BUSCAREG, indicando respectivamente



[b][i]Windows Search.lnk [/i][/b]



y para la otra:



[b][i]219C3416-8CB2-491a-A3C7-D9FCDDC9D600[/i][/b]



Tras ello reinicia y mira si ves mas procesos (no aplicaciones ...)



saludos



ms, 29-11-2009

[Fiq]

buscando los archivos ndisvvan.sys y secupdat.dat en el editor del registro, he encontrado una clave del segundo, la borro o algo?