Virus =(

[Guille6.]

Hola y feliz año a todos los expertos de este foro, vengo con un problemita que ya me tiene bastante cansado jeje, el tema es el siguiente,formatee la maquina e instale recientemente window 2000 sp4 y luego de instalar algunas cosas basicas me empezo a saltar un virus que crea un error en el explorer y lo cierra,le das aceptar y salta otra ventana identica y asi sucesivamente ,a traves del administrador de tareas pude ver que los procesos que me "atacaban" era sysdrv.exe y en otras ocasiones msdrive.exe y despues de terminarlos unas cuantas veces deja de molestar pero igual se me enlentece la maquina, y al ejecutar aplicaciones me saltan cosas como: Minimo de memoria virtual suficiente - el sistema no tiene memoria virtual suficiente, windows tratara de aumentar la memoria...

Otra cosa que me ha saltado algunas veces es: C:Winnt/system32/services.exe ha finalizado inesperadamente con el código

y después de eso se me apaga la maquina.

Uso el avast pero es lo mismo que la nada, no detecta nada. He usado el Malwarebytes y he me ha encontrado estas cosas:



Scan 5/1/2010 01:46:10 a.m.

Valores del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.



Scan 05/01/2010 07:40:13 p.m.

Ficheros Infectados:

C:\RECYCLER\S-1-5-21-1670215468-3862990391-480861798-1606\sysdrv.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.



Sin embargo el virus sigue apareciendo y ya no se que hacer =(

Eso es todo, desde ya muchas gracias!

[msc hotline sat]

Parece que tienes un virus de los que se prpagan por pendrive...



Vacuna con el ELIPEN los ordenadores que tengas y procesa los pendrives con dicha utilidad, seleccionando unidad y pulsando en PROCESAR:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Aparte, prueba el ELISTARA y nos comentas el resultado:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 6-1-2010

[Guille6.]

Que rápido!

Dejo el informe, cabe destacar que hasta ahora no habia utilizado los pendrives, solo tengo 2 y uno no se pudo vacunar,



(6-1-2010 20:58:06)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Unidad C:\ Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



(6-1-2010 20:59:34)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



(6-1-2010 21:01:17)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado E:\Autorun.inf

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



(6-1-2010 21:14:37 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(6-1-2010 21:17:46 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 728

Nº Total de Ficheros: 10773

Nº de Ficheros Analizados: 5785

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(6-1-2010 21:24:40 (GMT))

EliStartPage v20.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

--------------------------------------------------

[msc hotline sat]

Supongo que la unidad E: o no es una USB o no tenia insertado el pendrive, cuando dice:



[b][i]Unidad E:\ No se Pudo Proteger[/i][/b]



y dado que faltan muchos parches, lance un windowsupdate e instale los que encuentre a faltar:



[b][i]No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

ALERTA. WindowsUpdate Incompleto.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]



Si tras ello persisten anomalias, envienos el informe que genera el SPROCES y veremos si tiene algo desconocido:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 7-1-2010

[Guille6.]

Ya tengo instalado los parches que faltaban, el virus no me ha atacado más, sin embargo me sigue saliendo el aviso de memoria virtual baja al poco tiempo de iniciado el equipo, por lo que dejo el log de procesos por si detectan algo que quizas me consuma la memoria, desde ya muchas gracias, saludos



(9-1-2010 00:30:52 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows 2000 (v5.0.2195) Service Pack 4

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2800.1106) ;SP1;

Nombre Equipo: GUT

Nombre Usuario: Gutiérrez



Procesos Activos:

C:\WINNT\SYSTEM32\SMSS.EXE

C:\WINNT\SYSTEM32\WINLOGON.EXE

C:\WINNT\SYSTEM32\SERVICES.EXE

C:\WINNT\SYSTEM32\LSASS.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINNT\SYSTEM32\PCTSPK.EXE

C:\WINNT\SYSTEM32\REGSVC.EXE

C:\WINNT\SYSTEM32\WBEM\WINMGMT.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET\WROS.EXE

C:\WINNT\EXPLORER.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\SYSTEM32\KHOOKER.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET\WINPPPOVERETHERNET.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\WINNT\WOOT.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\SETUP\AVAST.SETUP

C:\DOCUMENTS AND SETTINGS\GUTIéRREZ\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\system32\khooker.exe

O4 - HKLM\..\Run: [C-Media Mixer] C:\Archivos de programa\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Windows Data Serivce] woot.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1262974863690

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A53D557-8BA2-4624-96BA-675E747DBDFF}: NameServer = 200.40.220.245 200.40.30.245

O20 - Winlogon Notify: WZCNOTIF - WZCDLG.DLL

O21 - SSODL: Network.ConnectionTray - {7007ACCF-3202-11D1-AAD2-00805FC1270E} - C:\WINNT\system32\NETSHELL.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: aswFsBlk - ALWIL Software - C:\WINNT\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: W2K PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINNT\system32\pctspk.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINNT\system32\svchost -k rpcss (file missing)

O23 - Service: WinPoET PPPoE Optimized Driver (TopWinPoETDriver) - Unknown owner - C:\WINNT\SYSTEM32\DRIVERS\WrKPoET2000.sys

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET\WrOS.EXE



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: C-Media PCI Audio Driver (WDM) (cmpci) - C-Media Inc - C:\WINNT\SYSTEM32\drivers\cmaudio.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINNT\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: W2K Pctel Serial Device Driver (ptserial) - PCTEL, INC. - C:\WINNT\SYSTEM32\DRIVERS\ptserial.sys

O23 - Service: SiS630 - Silicon Integrated Systems Corporation - C:\WINNT\SYSTEM32\DRIVERS\sis630p.sys

O23 - Service: SiS PCI Fast Ethernet Adapter Driver (SISNIC) - SiS Corporation - C:\WINNT\SYSTEM32\DRIVERS\sisnic.sys

O23 - Service: WrKPoET2000 - Unknown owner - C:\Archivos de programa\WinPoET\WrKPoET2000.sys

O23 - Service: iVasion PoET Adapter (WRSWanDD) - Unknown owner - C:\WINNT\SYSTEM32\DRIVERS\WrKPoETNic2000.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - VERITAS Software Corp. - C:\WINNT\SYSTEM32\drivers\dmboot.sys



19 Servicios.

8 de Carga Automatica.

10 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues ahí tienes el presunto culpable:



O4 - HKLM\..\Run: [Windows Data Serivce] woot.exe



Añade .VIR a la extension de este fichero, que posiblemente esté en la carpeta de sistema (en tu caso C:\winnt\system32\) y tras reiniciar ya no se pondrá en uso, y nos lo envias para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-1-2010

[Guille6.]

Me paso algo raro, encontre el fichero woot y le añadi la extension .vir luego reinicie y cuando pone la pantalla de window 2000 reiniciando no termina de reiniciar, pude entrar por modo seguro y cambie el fichero a .exe nuevamente a ver si asi me dejaba reiniciar pero tampoco me deja, queda cargando infinitamente, la verdad no se que hacer

[msc hotline sat]

Pues buscando informacion al respecto, parece que estos ficheros forman parte del malware y en tu caso pueden estar en C:\winnt\ o en C:\winnt\system32\ o en la carpeta de inicio:



Woot.exe

Gf.exe

mshost.exe



y otro que tambien es mas de lo mismo es el



C:\X.bat



Envianoslos todos si los encuentras, y los analizaremos, pues efectivamente se trata de un troyano backdoor que se las trae..., y dinos si tienes sonido, y puedes navegar con dicho ordenador... ???



Pero lo que hace o deja de hacer lo veremos cuando monitoricemos las muestras que nos envies... por lo visto es duro de pelar, segun indican en http://es.kioskea.net/forum/affich-288519-virus-x-bat-troyano-anula-sonido-navegacion , incluso hay quien dice que se instala en el BIOS, muy improbable, pero...



En cualquier caso, tras recibirlos y analizarlos, informaremos



saludos



ms, 10-1-2010

[Guille6.]

exacto x.bat! el avast siempre lo detectaba y eliminaba pero siempre termina apareciendo, yo creo que es posible que se instale en la bios porque en el post inicial no lo dije pero era el 3er formateo que hacia y las 3 veces aparecio virus. No se como solucionar para que window me inicie normal, me sale el siguiente error:

stop:c0000263{punto de entrada de controlador no encontrado}

el controlador de dispositivo /systemroot/system32/drivers/fltmgr.sys no encuentra el punto de entrada iogetdeviceattachmentbaseref en el controlador ntoskrnl.exe bla bla bla

alguna sugerencia?

me tengo que ausentar algunos dias pero en cuanto pueda enviare las muestras, gracias, saludos

[msc hotline sat]

No es facil modificar las Bios y que sigan funcionando ... dejarlas K.O. sí, como hacía el CIH, pero infectarlas, modificandolas... sería sobre modelos determinados, y sería un virus muy selectivo... no creo que sea el caso, pero posible si que lo es.



Yo mas bien pienso en un virus de MBR, al que no le afecta un simple formateo.



Aparte de los ficheros pedidos, envianos tambien este que dices:



C:\winnt/system32/drivers/fltmgr.sys



y lo analizaremos tambien, gracias



saludos



ms, 10-1-2010

[Guille6.]

Envié las muestras, no pude localizar el x.bat, saludos.

[msc hotline sat]

Pues en cuanto entremos a trabajar hoy en SATINFO las analizaremos e informaremos



saludos



ms, 19-1-2010