Problema con virus de camara digital (pendrive)

[Miguel99]

bueno esto me tiene algo angustiado ya que trato de cuidar mi equipo de computo lo mas que se puede pues resulta que hoy puse una camara a mi computadora y el antivirus me de tecto estos 2 virus CACHE-30928403\zero.sys y WINDOWS/inf/UIU/A2.



busque un poco en internet y parece que es peligroso el avast me detecto uno enseguida que conecte la camara y despues escanie el discoduro y me detecto el otro y claro los elimine enseguida.



si tienen algo de informacion de esos viros se los agradeceria o en que me podrian afectar aun si los elimine.

[msc hotline sat]

Posiblemente se trate de una variante de este malware:



http://vil.nai.com/vil/content/v_237984.htm



y recuerde que la memoria SD de las cámaras digitales se comporta exactamente igual que un pendrive, asi que conviene vacunarla con el ELIPEN para que no se vuelva a infectar:









vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



Posiblemente el ELISTARA o el ELIPALEVO lo hubiera detectado y eliminado o pedido muestras para analizar. Pruebelos y examine con ellos ordenadores y pendrives


[quote=" msc"]



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELIPALEVO.EXE: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 31-1-2010

RMX





NOTA: Lo segundo que indica no es un fichero, posiblemente es una carpeta, indiquenos el fichero que eliminó de ella o el virus que detectó, y le informaremos. ms.

[Miguel99]

use el elistara y me detecto los siguientes archivos.

ALCMTR.EXE 3 veces - spyrealtek

CLOSEAPP.EXE - risktool

y VIMC.EXE



[b][i]H[/i][/b]e notado que ultimamente, al abrir el administrador de tareas, al revisar el rendimiento del cpu varia de 0 al 4 % derrepente

y del 2 al 4 % pero muchas veces seguidas nunca se queda tranquila la linea nomas esta sube y baja

Aparte cada que abro el administrador de tareas para revisar el rendimiento de la memoria ram empieza en 315 y cada que pasa el tiempo se hace mas 320 340 345 360 hasta a 390 pero no entiendo el motivo si no hago casi nada no utilizo muchos programas. bueno espero y me puedan ayudar.que si lo anteriormente mensionado es normal.

[msc hotline sat]

No estás posteando el informe resultante, como se te pide:



[b][i]"Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso"[/i][/b]



Con un copiar y pegar posteanos el infosat.txt y el sproclog.txt que resultará tras probar el SPROCES:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 6-2-2010

[Miguel99]

(11-1-2010 00:32:24)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



(6-2-2010 5:21:11 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Linea Eliminada del HOSTS --> 127.0.0.1 mpa.one.microsoft.com

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(6-2-2010 5:22:23 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\inf\UIU\A1\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\inf\UIU\A2\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\CLOSEAPP.EXE --> Eliminado, RiskTool.CloseApp

C:\WINDOWS\system32\VIMC.EXE --> Eliminado, RiskTool.CloseApp(dr)



Nº Total de Directorios: 2582

Nº Total de Ficheros: 31035

Nº de Ficheros Analizados: 8817

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5



(6-2-2010 08:33:52 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: DELL-CDE66956AD

Nombre Usuario: Desktop



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\PROGRAM FILES\COMMON FILES\LOGITECH\LVMVFM\LVPRCSRV.EXE

C:\WINDOWS\SYSTEM32\ACS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\PROGRAM FILES\ATHEROS\ACU.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\LVCOMSX.EXE

C:\PROGRA~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\DESKTOP\MY DOCUMENTS\DESCARGAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 mpa.one.microsoft.com

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - Startup: Adobe Gamma.lnk

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1261195483921

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1261359091281

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.2.0.3 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Intel(r) 82801 Audio Driver Install Service (WDM) (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Atheros Wireless Network Adapter Service (AR5211) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5211.sys

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Audio Device (btaudio) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys (file missing)

O23 - Service: Bluetooth Virtual Communications Driver (BTDriver) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys (file missing)

O23 - Service: Bluetooth Bus Enumerator (BTKRNL) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys (file missing)

O23 - Service: Bluetooth LAN Access Server (BTWDNDIS) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys (file missing)

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: 3Com EtherLink XL 90XB/C Adapter Driver (EL90XBC) - 3Com Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\el90xbc5.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: i81x - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\i81xnt5.sys

O23 - Service: iAimFP0 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV01nt.sys

O23 - Service: iAimFP1 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV02NT.sys

O23 - Service: iAimFP2 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV05NT.sys

O23 - Service: iAimFP3 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wSiINTxx.sys

O23 - Service: iAimFP4 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wVchNTxx.sys

O23 - Service: iAimFP5 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV07nt.sys

O23 - Service: iAimFP6 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV08nt.sys

O23 - Service: iAimFP7 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV09nt.sys

O23 - Service: iAimTV0 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV01nt.sys

O23 - Service: iAimTV1 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV02NT.sys

O23 - Service: iAimTV3 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV04nt.sys

O23 - Service: iAimTV4 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wCh7xxNT.sys

O23 - Service: iAimTV5 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV10nt.sys

O23 - Service: iAimTV6 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV06nt.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Logitech Machine Vision Engine Loader (lvmvdrv) - Logitech - C:\WINDOWS\system32\drivers\lvmvdrv.sys

O23 - Service: Logitech LVPrcMon Driver (LVPrcMon) - Logitech - C:\WINDOWS\system32\drivers\LVPrcMon.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



46 Servicios.

8 de Carga Automatica.

37 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues ya ves que te faltan muchos parches:



No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



Los 1073 del SP3 y otros posteriores...



Lanza un windowsupdate e instala los que encuentre a faltar.





y vemos esta clave que ya eliminó el ELISTARA y parece que se ha regenerado:



O1 - Hosts: 127.0.0.1 mpa.one.microsoft.com



Eliminala segun indicamos al final de:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y comprueba que no se regenere...



y si lo hace, prueba estas otras utilidades ELIBAGLA y ELIPALEVO , que utilizan tecnicas que ocultan las pistas en los logs de analisis:



[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



[b] ELIPALEVO.EXE: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





informanos en cualquier caso, gracias



saludos



ms, 6-2-2010

[Miguel99]

Yo me pongo ha hacerles caso en todo lo que me dicen y resulta que ahora me infecte por un win32malware gen



el elistar es un malware. miren esta toma que saque de mi escritorio



[url=http://img18.imageshack.us/i/newbitmapimagevy.png/][img]http://img18.imageshack.us/img18/5619/newbitmapimagevy.png[/img][/url]



que tienen que decir al respecto

[msc hotline sat]

Es un falso positivo del AVAST, que ya conocemos, como se indica en :



https://foros.zonavirus.com/viewtopic.php?f=5&t=26228



O bien desactivas dicho antivirus para probar el ELISTARA, o bien arrancas en MODO SEGURO, y asi podrás pasarlo sin que te incordie ni el virus ni el antivirus.



Y tranquilo que si estuviera infectado (que como cualquier fichero podría estarlo) lo detectaría con el autochecksum que equipan todas nuestras utilidades, e indicaría haber sido modificado y no se ejecutaría, para evitar infectar los ficheros que fuera abriendo.



Para tu tranquilidad, aparte de que llevamos mas de 25 años en el sector, ya hace unos 15 que hacemos utilidades que actualizamos diariamente para ir controlando los mas de mil nuevas variantes que aparecen diariamente, y concretamente el ELISTARA es la que ha sido descargada mas veces, mas de seis millones como verás en:



http://www.zonavirus.com/noticias/2010/ranking-de-descargas-de-utilidades-satinfo-en-este-foro.asp



Y tras probarla, posteanos el informe resultante, con un copiar y pegar de C:\infosat.txt, gracias.



saludos



ms, 14-2-2010