tengo el virus security tool (SOLUCIONADO)

[xaica]

Hola forer@s de nuevo me dirijo a vosotr@s para pedir ayuda, mi pc va muy lento,de repente me sale una ventana que me dice que es un antivirus llamado security tool, no me deja quitarlo ni desinstalarlo,yo utilizo avast y no se como se me ha metido ese supuesto antivirus(bueno llamemosle virus ...),podriais ayudarme ?

Gracias de antemano

[lucl]

Descargate este programa que te indico y ejecutalo en tu pc. Te dejara un log en C infosat.txt cuyo resultado debes pegarnos, te dejo link de descarga





http://www.zonavirus.com/descargas/elistara.asp





luego ejecutas tambien sprocess y nos pegas el log que te dejara en C llamado sproclog.txt y a partir de ahi continuamos, saludos



http://www.zonavirus.com/descargas/sproces.asp

[xaica]

Muchas gracias por contestar tan rapido, aqui os dejo los dos Logs:







(28-1-2010 21:03:45 (GMT))

EliStartPage v20.20 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\Documents and Settings\juan\Datos de programa\AVDRN.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-1-2010 21:04:40 (GMT))

EliStartPage v20.20 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Fast Browser Search\IE\SEARCHGUARDPLUS.EXE --> Eliminado, Adware.SearchGuardPlus

C:\Archivos de programa\myBabylon_English\TBMYB1.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 5646

Nº Total de Ficheros: 47989

Nº de Ficheros Analizados: 19671

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3









(28-1-2010 21:45:25 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: JUAN-9EC66736A2

Nombre Usuario: juan



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHARED FILES\CTDEVSRV.EXE

C:\ARCHIVOS DE PROGRAMA\LOGMEIN\X86\RAMAINT.EXE

C:\ARCHIVOS DE PROGRAMA\LOGMEIN\X86\LOGMEIN.EXE

C:\ARCHIVOS DE PROGRAMA\LOGMEIN\X86\LMIGUARDIAN.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

C:\ARCHIVOS DE PROGRAMA\LOGMEIN\X86\LOGMEINSYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\LOGMEIN\X86\LMIGUARDIAN.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM32\WBEM\UNSECAPP.EXE

C:\WINDOWS\SYSTEM32\S3TRAYP.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\CREATIVE MEDIA LITE\CTZDETEC.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\SETUP\AVAST.SETUP

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\TOOLBAR\WLTUSER.EXE

C:\DOCUMENTS AND SETTINGS\JUAN\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll

O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Archivos de programa\myBabylon_English\tbmyB1.dll (file missing)

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: Fast Browser Search Toolbar Helper - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Archivos de programa\Fast Browser Search\IE\FBStoolbar.dll

O3 - Toolbar: Fast Browser Search Toolbar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Archivos de programa\Fast Browser Search\IE\FBStoolbar.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Archivos de programa\myBabylon_English\tbmyB1.dll (file missing)

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [CTZDetec.exe] "C:\Archivos de programa\Creative\Creative Media Lite\CTZDetec.exe"

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\emule 49b zz\emule.exe -AutoStart

O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\Temp\_ex-08.exe

O4 - Startup: wwwpos32.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm

O8 - Extra context menu item: Translate with Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - C:\Archivos de programa\Bodog Poker\BPGame.exe (file missing)

O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Intranet ZoneO15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Intranet ZoneO16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: LMIINIT - LMIINIT.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Archivos de programa\Creative\Shared Files\CTDevSrv.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LogMeIn Kernel Information Provider (LMIInfo) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaInfo.sys

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn Remote File System Driver (LMIRfsDriver) - LogMeIn, Inc. - C:\WINDOWS\system32\drivers\LMIRfsDriver.sys

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

O23 - Service: NetGroup Packet Filter Driver (npf) - CACE Technologies - C:\WINDOWS\SYSTEM32\drivers\npf.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: GMSIPCI - Unknown owner - D:\INSTALL\GMSIPCI.SYS (file missing)

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: lmimirr - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lmimirr.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: S3GIGP - S3 Graphics Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\S3gIGPm.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: EZ ConnectTM g 108Mbps Wireless USB Adapter Service (SMCUSBT) - SMC Networks, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\smcusbt1.sys

O23 - Service: USB2.0 PC Camera (SNP2STD) (SNP2STD) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snp2sxp.sys

O23 - Service: SAMSUNG Mobile USB Device 1.0 driver (WDM) (ss_bus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ss_bus.sys

O23 - Service: SAMSUNG Mobile USB Modem 1.0 Filter (ss_mdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ss_mdfl.sys

O23 - Service: SAMSUNG Mobile USB Modem 1.0 Drivers (ss_mdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ss_mdm.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



34 Servicios.

13 de Carga Automatica.

20 de Carga Manual.

1 Deshabilitados.







Gracias de antemano :wink:

[msc hotline sat]

Pues envianos estos ficheros para analizar:



C:\Archivos de programa\Creative\Creative Media Lite\CTZDetec.exe



C:\WINDOWS\Temp\_ex-08.exe



C:\ Documents and settings\All Users\menú inicio\programas\inicio\wwwpos32.exe



C:\WINDOWS\SYSTEM32\drivers\npf.sys





Y mientras los recibimos y analizamos, puedes añadir .VIR a la extension de dichos ficheros para que tras reiniciar ya no se pongan en marcha. Luego, si son malwares, ya las eliminará la utilidad que hagamos al respecto (seguramente la ELISTARA 20.52), aunque tengan extension .VIR





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 29-1-2010

[xaica]

Muchas gracias por contestar tan pronto

Decirte que les he podido enviar 3 muestras ya que la 4ª no la encuentro ni tan siquiera haciendo un buscar ,ni con todos los archivos a vista ni nada :shock: , la que me falta es esta:



C:\ Documents and settings\All Users\menú inicio\programas\inicio\wwwpos32.exe



Ya les puse .VIR a las otras 3,muchas gracias!!!!

[msc hotline sat]

A ver, en el log vemos:



O4 - Startup: wwwpos32.exe



esto quiere decir que en la carpeta de inicio tienes dicho fichero ...



Buscalo con Inicio -> Buscar -> Todas las carpetas y ficheros -> wwwpos32.exe





Sino, este se lanzará en cada reinicio... y es malware declarado:

http://www.prevx.com/filenames/X2129276690522353590-X1/WWWPOS32.EXE.html



saludos



ms, 29-1-2010

[msc hotline sat]

Pues recibidas las muestras, en uno de los ZIP hay un .pf, que es un lanzador, inutil sin el .EXE, y no monitorizable.



Los otros dos ficheros no contienen rutinas víricas



El importante es el que no nos ha enviado :?



A ver si lo encuentra con un Inicio -> buscar y nos lo puede enviar



saludos



ms, 29-1-2010

[xaica]

Pues despues de volver a hacer de nuevo lo que me indicasteis, consigo enviaros 2 de las 3 muestras de wwwpos.exe que me salen .

Concretamente la que esta en incio no me la deja zipear, me dice lo siguiente:



Acción: Añadir (y reemplazar) ficheros Incluir subcarpetas: si Guardar ruta completa: no

Incluir archivos de sistema y ocultos: si

Adding wwwpos32.exe

Warning: could not open for reading: C:\Documents and Settings\juan\Menú Inicio\Programas\Inicio\wwwpos32.exe

copying Zip file



Tengo el antivirus desactivado y ya no se como mas hacer, a ver si con las que os envie que me salian dentro de la carpeta de regcleaner podeis ver algo :roll: :roll:

Lamento causaros tantas molestias

[msc hotline sat]

Ya ha llegado el que necesitabamos, y efectivamente era malware:



wwwpos32.exe



Y otro que enviabas era .pf, y que no sirve para monitorizar...



Bueno, este es una variante de Bredolab, que descarga lo que haya en el servidor a donde tiene previsto acceder.



Pasamos a controlarlo con el ELISTARA de hoy 20.22:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 15 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 29-1-2010





NOTA: y no utilices nada de regcleaner y compañía !!! ya que igual borra claves que necesitamos para la eliminacion... ms.

[xaica]

Os dejo el log despues de pasar de nuevo el elistara:



C:\Archivos de programa\RegCleaner\Backups\WWWPOS32.VIR.EXE --> Eliminado, Bredolab.AA(dldr)



Nº Total de Directorios: 5647

Nº Total de Ficheros: 48041

Nº de Ficheros Analizados: 19655

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(29-1-2010 18:23:35 (GMT))

EliStartPage v20.22 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 29 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\JUAN\MENú INICIO\PROGRAMAS\INICIO\WWWPOS32.EXE --> Eliminado Bredolab.AA(dldr)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





De entrada parece que funciona de nuevo bien, Mil gracias ,sois los mejores :wink:

[msc hotline sat]

Muy bien ! :


[quote]EliStartPage v20.22 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 29 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\JUAN\MENú INICIO\PROGRAMAS\INICIO\WWWPOS32.EXE --> Eliminado Bredolab.AA(dldr)[/quote]



Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 29-1-2010