firefox.exe borrado y proceso monnid32.exe al iniciar (SOLUCIONADO)

[JOG]

Me ha desaparecido el archivo firefox.exe y a la vez me aparece una ventana de ms-dos al arrancar el ordenador con un proceso llamado monnid32.exe.



He pasado el antivirus y herramienta anti spyware pero sigue apareciendo el proceso al iniciar el ordenador y no se que hacer para asegurarme que he eliminado completamente el virus.



El antivirus me detecto muchos ficheros infectados en system32, de los cuales no se si ha eliminado todos e indica que el nombre "Rootkit/Bubnix.A"



Muchas gracias

[msc hotline sat]

Efectivamente, este monnid32.exe es conocido como una variante de la familia Bredolab


[quote]
Name: monnid32

Filename: monnid32.exe

Command: %userProfile%\start menu\programs\startup\monnid32.exe

Startup Type: Startup Folder

HijackThis Category: O4

HijackThis Line:



O4 – S-1-5-18 Startup: monnid32.exe (User ‘SYSTEM’)

O4 – .DEFAULT Startup: monnid32.exe (User ‘Default user’)

O4 – Startup: monnid32.exe
[/quote]



envianos dicho fichero para analizar, e implementaremos su control y eliminacion en la proxima version del ELISTARA, y mientras, añadele al final del nombre actual, la extension .VIR y asi, tras reiniciar, ya no se pondrá en uso.





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo, lo analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 21-2-2010







NOTA: Por otro lado este BUBNIX que dices haber eliminado, pudo ser el downloader que descargó dicho Bredolab:




[quote]Análisis del archivo pdrtm.sys recibido el 2010.02.12 16:26:22 (UTC)

Estado actual: análisis terminado



Resultado: 29/41 (70.73%)

Compactar Imprimir resultados



Motor antivirus Versión Última actualización Resultado

a-squared 4.5.0.50 2010.02.12 Trojan.WinNT.Bubnix!IK

AhnLab-V3 5.0.0.2 2010.02.12 Win-Trojan/Rootkit.792064

AntiVir 7.9.1.160 2010.02.12 TR/Rootkit.Gen

Antiy-AVL 2.0.3.7 2010.02.11 Trojan/Win32.Agent.gen

Authentium 5.2.0.5 2010.02.12 -

Avast 4.8.1351.0 2010.02.12 Win32:Rootkit-gen

AVG 9.0.0.730 2010.02.12 BackDoor.Generic12.AEIU

BitDefender 7.2 2010.02.12 Gen:Rootkit.Nixoa.1

CAT-QuickHeal 10.00 2010.02.12 -

ClamAV 0.96.0.0-git 2010.02.12 -

Comodo 3911 2010.02.12 UnclassifiedMalware

DrWeb 5.0.1.12222 2010.02.12 -

eSafe 7.0.17.0 2010.02.11 -

eTrust-Vet 35.2.7299 2010.02.12 -

F-Prot 4.5.1.85 2010.02.12 -

F-Secure 9.0.15370.0 2010.02.12 Gen:Rootkit.Nixoa.1

Fortinet 4.0.14.0 2010.02.12 -

GData 19 2010.02.12 Gen:Rootkit.Nixoa.1

Ikarus T3.1.1.80.0 2010.02.12 Trojan.WinNT.Bubnix

Jiangmin 13.0.900 2010.02.08 -

K7AntiVirus 7.10.971 2010.02.11 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2010.02.12 Rootkit.Win32.Agent.aioy

McAfee 5889 2010.02.11 Generic.dx!mwf

McAfee+Artemis 5889 2010.02.11 Generic.dx!mwf

McAfee-GW-Edition 6.8.5 2010.02.12 Trojan.Rootkit.Gen

Microsoft 1.5406 2010.02.12 Trojan:WinNT/Bubnix.gen!A

NOD32 4861 2010.02.12 a variant of Win32/Rootkit.Kryptik.AF

Norman 6.04.08 2010.02.12 -

nProtect 2009.1.8.0 2010.02.12 -

Panda 10.0.2.2 2010.02.12 Rootkit/Bubnix.A

PCTools 7.0.3.5 2010.02.12 Hacktool.Rootkit

Prevx 3.0 2010.02.12 Medium Risk Malware

Rising 22.34.01.03 2010.02.11 -

Sophos 4.50.0 2010.02.12 Mal/SysPk-A

Sunbelt 5671 2010.02.11 Trojan.Win32.Generic!BT

Symantec 20091.2.0.41 2010.02.12 Hacktool.Rootkit

TheHacker 6.5.1.3.190 2010.02.12 Trojan/Kryptik.af

TrendMicro 9.120.0.1004 2010.02.12 RTKT_BUBNIX.VTG

VBA32 3.12.12.2 2010.02.12 Rootkit.Win32.Agent.aioy

ViRobot 2010.2.12.2184 2010.02.12 Trojan.Win32.S.Rootkit.792064

VirusBuster 5.0.21.0 2010.02.12 Rootkit.Agent.SUJI

Información adicional

File size: 792064 bytes

MD5 : e153dcea8ca499cfc45f5e485a7f6577

SHA1 : dc867804c357bd1f30eadebccde8d0a2a75ef771 [/quote]

Si quieres, descarga el ELIMD5.EXE y aplicale el HASH de este fichero e153dcea8ca499cfc45f5e485a7f6577 a ver si lo detecta en alguno de los que haya en el disco duro:



ELIMD5

http://www.zonavirus.com/descargas/elimd5.asp



y si fuera el caso, envianos tambien el que copie en :\muestras, pero de momento ya estará aparcado. ms.

[JOG]

Ya envie copia del fichero pedido.



Comentar tambien que al arrancar el ordenador y una vez que aparece el escritorio sufre una especie de cuelgue por el cual puedo acceder a los diferentes iconos del escritorio pero no puedo acceder a la barra de tareas ni por ejemplo acceder al administrador de tareas de windows.



Gracias y un saludo

[msc hotline sat]

Vamos a cerrar por hoy en SATINFO, y no se ha recibido nada tuyo.



Vuelvelo a enviar, y recuerda:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 22-2-2010

[JOG]

Efectivamente, me falla el envio automático. Lo he enviado por correo según las instrucciones.



Gracias

[lucl]

Pues estate atento al post mañana que te diran algo al respecto, saludos.

[msc hotline sat]

Pues dentro de unas 4 horas entraremos a trabajar y esperamos haber recibido dicho fichero que nos ha enviado, pero mientras añadale .VIR a su extension para que no se cargue a partir dle proximo reinicio, a ver si asi aparcamos el problema, hasta que, tras el analisis y monitorizacion de dicho fichero, implementemos su control y eliminaicon en nuestras utilidades, de lo cual informaremos.



saludos



ms, 23-2-2010

[msc hotline sat]

Pues casualmente al comentarme que se había recibido de un NO CLIENTE ni A TRAVES DE ZONAVIRUS un fichero corrupto MONNID32.EXE he recordado que se esperaba de tí dicho fichero, si bien no lo has enviado ni de la forma prevista en el foro ni indicando tu nick del foro ni dirigiendolo a zonavirus@satinfo.es ...



Bueno, total que lo que ha llegado al respecto, supongo que de tí por el nombre del fichero y que las sglas de tu nick corresponden con las iniciales del remitente del mail, es un fichero corrupto, de 97 bytes y sin encabezamiento propio de un EXE.



Como que venía empaquetado con un RAR con contraseña, ENTENDEMOS QUE NO HA SIDO EN EL CAMINO, SINO QUE TU DEBES TENERLO ASI EN EL ORDENADOR.



Ello explicacría el Error que te da en el inicio, ya que al lanzarlo lo encuentra defectuoso.



Para ver qué, quien y desde donde es zanzado, y sugerirte la solucion correspondiente, posteanos el informe resultante del SPROCES y veremos como proceder:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 23-2-2010

[JOG]

Lamento ser pesado y además torpe, puede que estuviera corrupto porque estaba bloqueado por el antivirus, como a pesar de todo sigo teniendo un comportamiento extraño al arrancar el ordenador, lo he desbloqueado y comprimido para intentar volverlo a mandar y he renombrado el archivo con la extension .vir.



El envio automático no me funciona no entiendo porque, así que seguí las instrucciones y lo mandé por correo, ¿no es el procedimiento adecuado?.



Saludos

[msc hotline sat]

Sí, pero empaquetado en un ZIP o RAR con password virus y enviado en un mail en cuyo asunto figure tu nick del foro, a zonavirus@satinfo.es



De lo contrario van a otra cuenta, que en tu caso es de NO CLIENTES, que se atiende despues de los CLIENTES y de ZONAVIRUS, que es en el grupo donde ademas de tener prioridad media, se relaciona con los TEMAS del foro.



Comprueba que el fichero que empaquetas tenga varios kB, no vayas a enviar de nuevo el de menos de 100 bytes que enviaste. Y si el antivirus te lo impide, primero arranca en modo seguro y en dicho modo lo empaquetas, pues asi no estará residente el antivirus y no lo impedirá.



Y mientras, nos posteas el log del SPROCES que te hemos pedido...



saludos



ms, 23-2-2010

[JOG]

(23-2-2010 22:04:59 GMT)

SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: Jesus

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HPCORETECH\HPCMPMGR.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB09.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA CLOUD ANTIVIRUS\PSUNMAIN.EXE

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DAEMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\ZYDAS TECHNOLOGY CORPORATION\ZYDAS_802.11G_UTILITY\ZDWLAN.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA CLOUD ANTIVIRUS\PSANHOST.EXE

C:\WINDOWS\SYSTEM32\PNKBSTRA.EXE

C:\WINDOWS\SYSTEM32\PNKBSTRB.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\ZYDAS TECHNOLOGY CORPORATION\ZYDAS_802.11G_UTILITY\W32BRG55.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\JESUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Steam] "C:\Archivos de programa\Steam\Steam.exe" -silent

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [PSUNMain] "C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [RegistrarUsrDNIeCertStoreDLL] "C:\Archivos de programa\DNIe\udcs.exe"

O4 - Startup: monnid32.exe.vir

O4 - Startup: monnid32.rar

O4 - Startup: monnid32.zip

O4 - Global Startup: ZDWLan Utility.lnk

O8 - Extra context menu item: &Download by Arles Download Manager - C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Ariel Download Manager\DownloadManager.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{79924AD2-C953-4526-B3D4-843C3A89B025}: NameServer = 62.42.230.24,62.42.63.52

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: PSINAflt - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINAflt.sys

O23 - Service: PSINFile - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINFile.sys

O23 - Service: PSINProc - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINProc.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

*O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Eliminador de eco acústico de núcleo de Microsoft (aec) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\aec.sys (file missing)

O23 - Service: Servicio de estado de ASP.NET (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: Controlador de medios asíncronos de RAS (AsyncMac) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\asyncmac.sys (file missing)

O23 - Service: Protocolo cliente ATM ARP (Atmarpc) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atmarpc.sys (file missing)

O23 - Service: BRGSp50 NDIS Protocol Driver (BRGSp50) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\SYSTEM32\Drivers\BRGSp50.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Sintetizador DLS Kernel de Microsoft (DMusic) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\DMusic.sys (file missing)

O23 - Service: Descodificador de audio DRM del núcleo de Microsoft (drmkaud) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\drmkaud.sys (file missing)

O23 - Service: GemCCID - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\GemCCID.sys (file missing)

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Controlador de clases HID de Microsoft (HidUsb) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\hidusb.sys (file missing)

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

*O23 - Service: Controlador de Firewall de Windows IPv6 (Ip6Fw) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\Ip6Fw.sys (file missing)

O23 - Service: Controlador de filtro de tráfico IP (IpFilterDriver) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipfltdrv.sys (file missing)

O23 - Service: Servicio enumerador IR (IRENUM) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\irenum.sys (file missing)

O23 - Service: Proxy de servicio de transferencia de Microsoft (MSKSSRV) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\MSKSSRV.sys (file missing)

O23 - Service: Proxy del reloj de transferencia de Microsoft (MSPCLOCK) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\MSPCLOCK.sys (file missing)

O23 - Service: Proxy del administrador de calidad de transferencia de Microsoft (MSPQM) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\MSPQM.sys (file missing)

O23 - Service: nProtect GameGuard Service (npggsvc) - INCA Internet Co., Ltd. - C:\WINDOWS\system32\GameMon.des

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador retransmisor de tráfico IPX (NwlnkFwd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkfwd.sys (file missing)

O23 - Service: PnkBstrK - Unknown owner - C:\WINDOWS\system32\drivers\PnkBstrK.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS) (ZD1211BU(ZyDAS)) - ZyDAS Technology Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\zd1211Bu.sys

O23 - Service: ZDPSp50 NDIS Protocol Driver (ZDPSp50) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\SYSTEM32\Drivers\ZDPSp50.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



41 Servicios.

11 de Carga Automatica.

29 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues de entrada vemos:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



empiece por lanzar un windowsupdate e instalar los que encuentre a faltar (Los 1073 del SP3 por lo menos !)





y luego hay lo de estas tres claves:



O4 - Startup: monnid32.exe.vir

O4 - Startup: monnid32.rar

O4 - Startup: monnid32.zip





elimine estos ficheros del inicio !



Y tras recibir la muestra pedida en posts anteriores, la analizaremos e informaremos.



saludos



ms, 24-2-2010

[msc hotline sat]

Me dicen que ha llegado tu MONNID32, y esta vez entero !



Una vez analizado resulta ser un Bredolab que pasamos a controlar con la version de hoy del ELISTARA:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





Añadale .VIR a su estension para que no se cargue a partir del siguiemte reinicio, y tras probar la nueva version 20.40 del ELISTARA deberá quedar solucionado, eliminadas las copias que pudiera haber hecho y restauradas las ckaves modificadas.



Como que es un downloader, pudi descargar otros troyanos, diferentes cada día, como el del BUBNIX que le detectó y elimnó el antivirus, que quizas fue el que le borró el Firefox ... ???



Tras descargar y probar dicha version, comentenos el resultado, gracias



saludos



24-2-2010

[JOG]

(24-2-2010 18:59:43 (GMT))

EliStartPage v20.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\Documents and Settings\Administrador\Datos de programa\AVDRN.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminado , Installed Components "{99ESP9C2-4FED-15CF-AAE5-62CB5F2X4512}"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-2-2010 19:03:41 (GMT))

EliStartPage v20.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\MONNID32.EXE.VIR --> Eliminado, Bredolab.AC(dldr)

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\FJHDYFHSN.BAT --> Eliminado, Trojan.Delete.BAT



Nº Total de Directorios: 6863

Nº Total de Ficheros: 81478

Nº de Ficheros Analizados: 14342

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4





Pero me sigue tardando mucho en habilitarme la barra de tareas, incluso una vez que parece haber terminado de leer el disco duro la barra no esta accesible, en fin, seguire observandolo.



Un saludo y gracias.

[msc hotline sat]

Pues por una parte conviene que lances un windowsupdate y actualices los parches, ya que de detecta que faltan:



No detectado SP3 de Windows XP



y son 1073 parches los que integran el SP3, con lo que recuerdo , cuando lo instalamos allá por el 2008, que incrementó en un 10 % de promedio la velocidad de los ordenadores, además de la mayor seguridad que conlleva la aplicacion de dichos parches.





Y por otra vemos que efectivamente la 20.40 ha detectado y eliminado "su" troyano :) :



C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\MONNID32.EXE.VIR --> Eliminado, Bredolab.AC(dldr)





Y además al monitorizarlo hemos visto que este descargaba ficheros con el troyano Bubnix, que ya nos indicó haber detectado y eliminado con su antivirus:



[i]El antivirus me detecto muchos ficheros infectados en system32, de los cuales no se si ha eliminado todos e indica que el nombre "Rootkit/Bubnix.A"[/i]



Así que ya con lo de antes y lo de ahora, que hemos limpiado tambien otrras malas hierbas, damos por solucionado el Tema y procedemos a cerrarlo



Espero que con el SP3 mejore las prestaciones, y recomendamos además vaciar papelera, eliminar temporales, y si quiere, desfragmentar el disco duro, todo ayuda.



Y si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 24-2-2010