Hola! (caracter de urgente y gravedad muy alta)

Shaury · Mensaje por **Shaury** » 12 Feb 2010, 14:22

Hola: me identifique en este foro con mi apodo Shaury y no me andare con rodeos de presentacion aunuqe es probable que con mi problema se entretengan un largo tiempo

Bueno el problema que tengo al parecer es alguna especie de virus o cosa rara la cual no logre identificar toda~~[b]~~[i]ví[/i][/b]a, pero tengo algunas pistas para que puedan ayudarme que aqui enumerare

1-.logre ver que los antivirus no detectan nada! probe AVG NOD32 y AVAST tambien el PANDA ONLINE (no detectaron nada)

probe otros antivirus varios sin exitos! (el problema es que no logro conseguir versiones completas)

2-.logre identificar archivos que no creo sean normales como por ejemplo WOOL.EXE X.EXE 55.SCR 55.EXE 87.SCR 87.EXE SCJHOST.EXE SCVHOSTS.EXE SERVICES .EXE (OTROS MUCHOS ARCHIVOS CON NOMBRE ESPACIO Y .EXE ASI COMO NUMERO DE DOS CIFRAS .EXE O .SCR)

3-.primero desactiva el sonido solo en reproductores de videos musica y juegos - aparece un cartel parecido a DOSjunto a INICIO y dice BOT - se corta conexion a internet - por ultimo problemas de video (al reiniciar la PC desaparece los problemas y a los 10 o 15 minutos vuelven a suceder)

4-.NOTA: IMPORTANTE tener en cuenta que para terminar con el problema BORRE TODA LA PC eliminando particion y formateo de disco duro y el problema continua

5-.aparentemente infecta los USB creando archivos en ellos uno que cambia de nombre continuamente otro dentro de la carpeta RECYCLER y en el autorun.inf (que los antivirus simpre lo borran por archivo malicioso) en el caso de celulares o camaras de foto digitales me pro[i]v[/i]oca recalentamiento del dispositivo

6-.la empresa de internet me cambio el moden y un amigo me regalo un disco duro nuevo pero asi y todo el problema continua

estoy cansado de este problema que llevo casi 3 meses tratando de solucionarlo solo di[i]g[/i]anme que hacer y si quieren acceso o lo que sea pero quiero sacarlo YA (no tengo dinero para un antivirus y menos para una nueva PC ayudenme por favor)

DESDE YA MUCHAS GRACIAS

Mensaje por **msc hotline sat** » 12 Feb 2010, 18:00

Pues podría tratarse de este virus:

VIRUS: WIN32/DROWOR.C

descripción

nombre: Win32/Drowor.C

aliases: Win32/Drowor.C, W32/Drowor.C, Drowor.C, W32/Cekar virus

tipo: Gusano de Internet

fecha: 09/06/2009

gravedad general:

distribución:

daño:

destructivo: No

origen: Desconocido

nombre asignado por: ESET

> INFORMACION

Malware que infecta archivos.

> CARACTERISTICAS

Cuando se ejecute se copia en la carpeta system32 con los siguientes nombres:

internat.exe

internat.exe.tmp

Busca archivos ejecutables en discos locales y en la red para infectarlos con su propio codigo, también se copia con los siguientes nombres.

setup.exe

autorun.inf

Evita infectar archivos que contengan alguno de los siguientes nombres:

KartRider.exe

NMService.exe

patchupdate.exe

ztconfig.exe

wool.exe

QQ.exe

TM.exe

CA.exe

También intenta descargar varios archivos de Internet.

__________

y evidentemente se reinfectó debido a que se propaga por pendrive. Su hubiera vacunado el ordenador con nuestro ELIPEN no le hubiera pasado !:

.

vacune todas sus unidades de disco y pendrive con el ELIPEN:

~~[b]~~ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

EDITO ESTE tEMA PARA QUE LO VEA SI LE CORRE PRISA, Y SIGO EN OTRO A CONTINUACION PARA INDICARLE COMO PROCEDER LUEGO.

saludos

ms, 12-2-2010

RAR

Mensaje por **msc hotline sat** » 12 Feb 2010, 18:13

Bueno, sin la urgencia de la primera informacion, te cuento el porqué de tu reinfección y la manera de proceder para evitarlo y enviarnos muestra del malware para que implementemos su control y eliminacion en nuestras utilidades:

Los virus que se propagan por pendrive, ademas de por otros medios, infectan las unidades removibles USB, creando un AUTORUN.INF que, por defecto, windows autoejecuta cuando lo ve, si bien fue pensado solo para lanzar peliculas en CD/DVD o CD's de instalacion de windows por ejemplo, cuando no existían los pendrives, alla por los años 2000, cuando se creó el XP, pero luego con el uso masivo de los pendrive, los malwares lo utilizan para copiar un fichero es estos, pero que lance un malware, desde dichas unidades USB...

Y cuando hicieron el VISTA, que ya se sabía, se les olvidó evitar dicha autoejecución, cosa que para el Windows 7 ya lo han previsto !

Pero ya hace 3 años, creamos el ELIPEN, que modifica claves del registro de windows de modo que solo se ejecuten dichos ficheros desde unidades CD/DVD (salvo que el usuario modifique la configuracion que establecemos) y además si se procesan las unidades pendrive, se crea una carpeta protegida con dicho nombre para que no se pueda crear tal fichero, salvo que se desproteja dicho pendrive, claro, y con ello evitamos que propague virus de dicho tipo de virus.

Y si bien este AUTORUN.INF puede ser mas o menos accesible (maximo estará con atributo de oculto), los ficheros infectados que lanza acostumbran a estar en carpetas con un DESKTOP.INI que integran una CLASS como la de la papelera, de forma que no son facilmente accesibles desde windows.

Por ello hemos creado el ELIMOVER, que indicando ruta y nombre del fichero que es lanzado desde un OPEN o un SHELL EXECUTE, lo copia a C:\muestras desde donde poder enviarnoslo para su analisis

y si ya existe un virus en el pendrive que ha creado un AUTORUN.INF, renombramos dicho fichero a AUTORUN.INF.OLD y en su lugar creamos la carpeta de proteccion. Y en este .OLD veremos lo que lanzaba y asi poder saber qué virus es y obtener muestra copiandolo a C:\muestras con el ELIMOVER (con un copiar y pegar de la ruta/nombre dle fichero en cuestion)

Y con la muestra, lo monitorizamos e implementamos su control y eliminacion en nuestras utilidades, normalmente en el ELISTARA, de lo cual informamos en consecuencia.

y para el envio de las muestras:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

Creo que lo he explicado bien claro, pero si tienes alguna duda, consultanos.

Ahora pasa el ELIPEN a tus pendrives y mira si te detecta algun AUTORUN.INF, y si es el caso (seguro que sí) abre con el Bloc de Notas el .OLD creado y verás el fichero que ejecuta, copialo con el ELIPEN a C:\muestras y envianoslo conforme indicado, y cuando lo recibamos, obraremos en consecuencia.

saludos

ms, 12-2-2010

Shaury · Mensaje por **Shaury** » 12 Feb 2010, 18:24

(12-2-2010 15:13:58) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NWIZ.EXE --> Eliminado

C:\WINDOWS\LOGFILE32.TXT --> Eliminado

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado RootKit

C:\WINDOWS\SYSTEM32\I --> Eliminado

Eliminado Servicio, "SVKP"

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 195.137.236.101

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(12-2-2010 15:19:06) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 160

Nº Total de Ficheros: 2219

Nº de Ficheros Analizados: 934

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

(12-2-2010 15:21:27) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 2446

Nº Total de Ficheros: 38934

Nº de Ficheros Analizados: 6771

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 15:57:51) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 748

Nº Total de Ficheros: 22109

Nº de Ficheros Analizados: 446

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 16:22:35 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\WMPSCFGS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\APP_DLL.DLL.Muestra EliStartPage v20.32

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\APP_DLL.DLL --> Renombrado a .VIR

C:\WINDOWS\Tasks\At1.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At2.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At3.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At4.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At5.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At6.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At7.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At8.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At9.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At10.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At11.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At12.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At13.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At14.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At15.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At16.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At17.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At18.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At19.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At20.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At21.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At22.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At23.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At24.job --> Eliminado (Fichero Complementario).

C:\Archivos de programa\Internet Explorer\JS.MUI --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job --> Eliminado (Fichero Complementario).

Eliminado Servicio, "SSHNAS"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(12-2-2010 17:17:3)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(12-2-2010 17:17:35)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad D:\ Protegida

Unidad G:\ Protegida

Mensaje por **msc hotline sat** » 12 Feb 2010, 18:36

Pues aparte de lo indicado, veo que has probado alguna de nuestras utilidades, y el ELISTARA te pide que nos envies este fichero:

Por favor, envienos una muestra del fichero

C:\Muestras\APP_DLL.DLL.Muestra EliStartPage v20.32

pues hazlo, ya te he indicado como en mi anterior post.

saludos

ms, 12-2-2010

NOTA: Y al respecto de esta detección, puede tratarse de un

http://www.prevx.com/filenames/X2046774809666201110-X1/APP_DLL.DLL.html

lo cual ratificaremos y controlaremos si es el caso, con nuestras utilidades, de lo cual informaremos

ms.

Shaury · Mensaje por **Shaury** » 12 Feb 2010, 18:56

creo que le llego a nombre de Shaury de no ser asi aviseme por favor y gracias una vez mas

Mensaje por **msc hotline sat** » 12 Feb 2010, 19:01

Y por favor, procesa con el ELIPEN el pendrive que utilizaras antes y despues del formateo del PC, y tras ello nos posteas de nuevo el contenido de c:\infosat.txt, asi veremos si, ademas, tienes lo que pensamos ...

Y es que ya hemos eliminado un RootKit, un SVKP, un WMPSCFGS, etc, y pedido esta DLL sospechosa, por lo cual puedes tener mas, claro, y por lo que decías con muy buen criterio, parece que te ronda uno de los que se propagan por pendrive... a por él !

y que bien debes estar, en verano por aquí, ya que en España estamos en pleno invierno y bajo una ola de frío que nos hace estar por las noches bajo cero... y aun recuerdo mi viaje a la Antartida, a cuya vuelta pasé por Buenos Aires, por esta epoca, y gozabais de un clima enviadiable ... bonito recuerdo :)

Como verás me extiendo porque aqui es viernes tarde y ya no trabajamos , si bien para tí aun debe ser por la mañana, bueno, pues si me necesitas aun estaré un rato por aqui.

saludos

ms, 12-2-2010

Mensaje por **msc hotline sat** » 12 Feb 2010, 19:03

Leo que no sabes como enviar la DLL, pues arranca en modo seguro, de forma que el antivirus no estará residente, empaquetala en un ZIP o RAR con password virus, tal como indicamos en las instrucciones, y nos la envias pulsando en "ENVIO MUESTRAS"

Y no te olvides de lo del ELIPEN, y con un copiar y pegar nos posteas el infrome resultante, gracias

saludos

ms, 12-2-2102

Shaury · Mensaje por **Shaury** » 12 Feb 2010, 19:04

[quote="msc hotline sat"]

[/quote]
creo que ya esta

revisa si lo mande bien por favor

Mensaje por **msc hotline sat** » 12 Feb 2010, 19:10

Ya te he dicho que SATINFO ya está cerrado, lo veremos el lunes cuando volvamos al trabajo.

Pero está claro que era bicho si el antivirus te lo detectaba cuando querías enviarlo sin password...

Y mientras, ya lo hemos renombrado a .VIR en donde estaba (carpeta de sistema) y lo hemos aparcado en C:\muestras:

C:\Muestras\APP_DLL.DLL.Muestra EliStartPage v20.32

C:\WINDOWS\SYSTEM32\APP_DLL.DLL --> Renombrado a .VIR

por lo que tras reiniciar ya no incordiará.

Por esto este ya no me preocupa, en cambio el de posible pendrive sí, y este está pululando por ahí sin control, por ello te pido lo del ELIPEN sobre el pendrive y el informe resultante.

saludos

ms, 12-2-2010

Shaury · Mensaje por **Shaury** » 12 Feb 2010, 20:08

Creo esto me pidio!

con esto ya terminamos? podre estar tranquilo?

gracias

(12-2-2010 15:13:58) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NWIZ.EXE --> Eliminado

C:\WINDOWS\LOGFILE32.TXT --> Eliminado

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado RootKit

C:\WINDOWS\SYSTEM32\I --> Eliminado

Eliminado Servicio, "SVKP"

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 195.137.236.101

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(12-2-2010 15:19:06) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 160

Nº Total de Ficheros: 2219

Nº de Ficheros Analizados: 934

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

(12-2-2010 15:21:27) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 2446

Nº Total de Ficheros: 38934

Nº de Ficheros Analizados: 6771

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 15:57:51) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 748

Nº Total de Ficheros: 22109

Nº de Ficheros Analizados: 446

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 16:22:35 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\WMPSCFGS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\APP_DLL.DLL.Muestra EliStartPage v20.32

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\APP_DLL.DLL --> Renombrado a .VIR

C:\WINDOWS\Tasks\At1.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At2.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At3.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At4.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At5.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At6.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At7.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At8.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At9.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At10.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At11.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At12.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At13.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At14.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At15.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At16.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At17.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At18.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At19.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At20.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At21.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At22.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At23.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At24.job --> Eliminado (Fichero Complementario).

C:\Archivos de programa\Internet Explorer\JS.MUI --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job --> Eliminado (Fichero Complementario).

Eliminado Servicio, "SSHNAS"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(12-2-2010 17:17:3)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(12-2-2010 17:17:35)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad D:\ Protegida

Unidad G:\ Protegida

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

(12-2-2010 19:01:29)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

(12-2-2010 19:06:33) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(12-2-2010 19:06:44) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 1

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 19:06:46) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 1

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 19:06:51) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 1

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 12 Feb 2010, 20:25

Tranquilo solo si cierras el ordenador... !

Mientras lo tienes en marcha, via IP pueden entrar los malwares por lo agujeros de seguridad de windowsy del navegador...

Y hablando de ellos, fijate lo que se te dice:

~~[b]~~[i]No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]

Así que lanza un windowsupdate e instala los parches que detecte que faltan, por lo menos asi estarás a salvo de los agujeros conocidos para los que existe parche, y "solo" quedarán los "zero days" (agujeros conocidos no parcheados), y los no conodiso todavía...

Asi que manten la guardia bien alta, que internet es muy inseguro, y solo con todos los parches al día, el antivirus residente y bien actualizado, y con mucho cuidado de por donde navegas y los mails que abras (pero que no ejecutes anexados, p pulses en fotos o links que contenganm si no los has pedido, aunque vengan de personas conocidas), con suerte..., tendrás menos riesgo.

Y este parche que te falta (ademas de los otros que te encuentre a faltar e instale el windowsupdate), el MS08-067, es por donde entra el Conficker, a pesar del antivirus que haya, y "solo" ha infectado ya a mas de 20 millones de ordenadores, segun ha indicado microsoft, asi que procede en consecuencia, y el lunes informaremos del fichero que nos has enviado como muestra para analizar.

saludos y buen fin de semana

ms, 12-2-2010

Shaury · Mensaje por **Shaury** » 12 Feb 2010, 23:17

reenvie el dll y aca esta lo que hice despues de restaurar sistema por que dejo de funcionar el windows asi que esto es la actualisazion

adjunto detalles del GHOST y del TXT

RestoreOperation 0

-- GHOST\GSCRIPT.TXT ----------------------------------------------------------

[RestoreOperation]

AlreadyProcessedFile = YES

BeginTimeParam = Wed Feb 10 20:50:21 2010

DestFingerprintParam = beec38c1-d0a6-4cfa-ba8d-4cffdb98f994

ExecutionStateParam = ExecutionStarted

FileIdParam = 1009843439

PathParam = \0km.gho

SourceFingerprintParam = 77f04a34-1791-46a9-996a-32c14f081fd2

SourcePartitionOffsetParam = 63

UseLFOParam = YES

WindowsPathParam = D:\0km.gho

-- GHOST\ARGS.TXT -------------------------------------------------------------

-sgt -sgb -wizard "-clone,mode=restore,src=@GF77f04a34-1791-46a9-996a-32c14f081fd2:63\0km.gho,dst=@GFbeec38c1-d0a6-4cfa-ba8d-4cffdb98f994" -ghwrap

-- AUTOEXEC.BAT ---------------------------------------------------------------

@echo off

SET PATH=C:\GHOST;C:\

SET PROMPT=Escriba ghreboot y presione Entrar para volver a Windows.$_$p$g

SET TZ=GHO+03:00

if "%CONFIG%" == "WINDOWS" goto WINDOWS

MOUSE.COM

CD \GHOST

GHWRAP.EXE

goto EOF

:WINDOWS

\GHOST\GHREBOOT.EXE

:EOF

-- CONFIG.SYS -----------------------------------------------------------------

[MENU]

menuitem=GHOST,Ejecutar funciones de DOS de Norton Ghost

menuitem=WINDOWS,Volver a Windows sin ejecutar Norton Ghost

menudefault=GHOST,3

[GHOST]

LASTDRIVE=Z

[WINDOWS]

-----------------------------------------------------------------------------------------------------------------------------------------------------

(12-2-2010 22:19:09)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad G:\ NO Protegida

Unidad H:\ YA esta Protegida

Unidad G:\ NO Protegida

Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger

Unidad G:\ NO Protegida

(12-2-2010 22:20:49) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LOGFILE32.TXT --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\I --> Eliminado

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 195.137.236.101

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Reinicie para Completar la Limpieza.

(12-2-2010 22:21:02) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1545

Nº de Ficheros Analizados: 18

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:21:07 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 195.137.236.101

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(12-2-2010 22:21:32 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

(12-2-2010 22:21:32) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

G:\XQF.COM --> Eliminado, PWS-OnLineGames.CKVO

(12-2-2010 22:21:34)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINSHOST.EXE.Muestra EliBagle v13.57

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINSHOST.EXE --> Bagle Renombrado a .VIR

Reinicie para Completar la Limpieza.

Nº Total de Directorios: 24

Nº Total de Ficheros: 1545

Nº de Ficheros Analizados: 18

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Nº Total de Directorios: 24

Nº Total de Ficheros: 1545

Nº de Ficheros Analizados: 18

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:21:41)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 15

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:21:46)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 15

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:22:06)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad G:\ NO Protegida

(12-2-2010 22:22:17 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 17

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:22:23)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 15

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:22:29) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 17

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Unidad G:\ NO Protegida

Unidad G:\ NO Protegida

Unidad G:\ NO Protegida

Unidad G:\ NO Protegida

Unidad G:\ Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

(12-2-2010 22:27:33) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 27

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 16

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:46:25)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINSHOST.EXE.VIR --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WINSHOST.EXE.Muestra EliBagle v13.57

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINSHOST.EXE --> Eliminado Bagle

(12-2-2010 22:46:41)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 1975

Nº Total de Ficheros: 19164

Nº de Ficheros Analizados: 3995

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

(12-2-2010 22:57:12)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(12-2-2010 22:57:19)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad G:\ YA esta Protegida

(12-2-2010 22:57:26 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(12-2-2010 22:57:34 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

(12-2-2010 22:57:41) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LOGFILE32.TXT --> Eliminado

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(12-2-2010 22:58:00) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

(12-2-2010 22:58:1)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Nº Total de Directorios: 2179

Nº Total de Ficheros: 20700

Nº de Ficheros Analizados: 6243

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Nº Total de Directorios: 2179

Nº Total de Ficheros: 20700

Nº de Ficheros Analizados: 6823

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Nº Total de Directorios: 2179

Nº Total de Ficheros: 20700

Nº de Ficheros Analizados: 4133

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 23:01:34) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 3

Nº Total de Ficheros: 24

Nº de Ficheros Analizados: 6

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Shaury · Mensaje por **Shaury** » 13 Feb 2010, 00:42

nose como mandarte las fotos tengo fotos de algunas cosas de virus que encontre y borre a mano en modo aprueba de fallos y paso a detallar:

USB / unidad extraible G:

carpeta

RECYCLER

dentro una carpeta de muchos numeros y guines medios

dentro de ella archivo acp.exe

autorun.inf

ACLARACION: al protegerlo con el ELIPEN el archivo se sigue auto-generando y solo dejo de hacerlo al ser borrado en modo a prueba de fallos

discos duros / unidad c:

archivo acp.exe y gf.exe

luego en carpeta windows

archivo acp.exe y gf.exe

luego en carpeta system32

archivo acp.exe y gf.exe

LUEGO:

ejecutar

msconfig

acp.exe y gf.exe en el incio desactivados

aunque sospecho de otros archivos en el inicio como:

ctfmon.exe que se encuentra en c:\windows\system32\ctfmon.exe

Tambien veo y desconfio de las actividades que estan en el ADMINISTRADOR DE TAREAS DE WINDOWS

aunque estos procesos tengo entendido son de WINDOWS sospecho son maliciosos y cito archivos en proceso:

ctfmon.exe

smss.exe

spoolsv.exe

wuauclt.exe

services.exe

NOTA: si cierro estos procesos luego de un lapso largo de tiempo se vuelvena ejecutar automaticamente

Mensaje por **msc hotline sat** » 13 Feb 2010, 06:04

Estos ficheros que dices son propios del sistema operativo:

ctfmon.exe

smss.exe

spoolsv.exe

wuauclt.exe

services.exe

claro que algun virus tambien utiliza sus nombres, pero generalmente son normales. Si quieres subelos uno a uno al [url=https://www.virustotal.com/es/]VirusTotal[/url] para salir de dudas.

lo que es mas sospechoso es que tengas estos dos ficheros en tres partes, C:\, C:\windows y c:\windows\system32 , eso podría ser por el virus.

[quote]
discos duros / unidad c:

archivo acp.exe y gf.exe

luego en carpeta windows

archivo acp.exe y gf.exe

luego en carpeta system32

archivo acp.exe y gf.exe
[/quote]

Envianos estos ficheros para analizar.

y especialmente si el AUTORUN.INF lanza este acp.exe, este es el que se propaga por pendrive, pero esto que dices que se regenera, imposible si vacunas con el ELIPEN dicho pendrive... no caben carpeta y fichero con el mismo nombre !

Pero veamos el infosat.txt donde se vea que has procesado esta unidad G:, posteanoslo con un copiar y pegar como respuesta de este Tema, aparte de enviarnos los dos ficheros que te pedimos a traves del sistema ENVIAR MUESTRAS

saludos

ms, 13-2-2010

Shaury · Mensaje por **Shaury** » 13 Feb 2010, 15:00

ahi pase los ELI y paso informe

tambien mande en muestras los siguientes seis archivos a detallar:

getiu.rar (yo identifico como virus)

gf.rar (yo identifico como virus)

spoolsv.rar (muy dudoso revisar por favor c:\windows\system32\ pero no permite deshabilitar)

43.rar (muy dudoso revisar por favor ese se encuentra en c:\windows\system32\

virus jpg.rar (son jpg de los problemas se que no es el lugar para enviarlo pero nosabia como hacer dime como por favor)

SERVICES.EXE.Muestra EliStartPage v20.rar (virus encontrado por los ELI)

tambien se me abren solas algunas paginas de internet muy raras y cabe destacar que levante el backup (vease informe anterior)

NOTA: descargando y actualizando windows

(12-2-2010 22:19:09)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad G:\ NO Protegida

Unidad H:\ YA esta Protegida

Unidad G:\ NO Protegida

Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger

Unidad G:\ NO Protegida

(12-2-2010 22:20:49) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LOGFILE32.TXT --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\I --> Eliminado

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 195.137.236.101

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Reinicie para Completar la Limpieza.

(12-2-2010 22:21:02) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1545

Nº de Ficheros Analizados: 18

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:21:07 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 users.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 shop.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 vodka.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 195.137.236.101

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(12-2-2010 22:21:32 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

(12-2-2010 22:21:32) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

G:\XQF.COM --> Eliminado, PWS-OnLineGames.CKVO

(12-2-2010 22:21:34)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINSHOST.EXE.Muestra EliBagle v13.57

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINSHOST.EXE --> Bagle Renombrado a .VIR

Reinicie para Completar la Limpieza.

Nº Total de Directorios: 24

Nº Total de Ficheros: 1545

Nº de Ficheros Analizados: 18

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Nº Total de Directorios: 24

Nº Total de Ficheros: 1545

Nº de Ficheros Analizados: 18

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:21:41)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 15

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:21:46)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 15

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:22:06)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad G:\ NO Protegida

(12-2-2010 22:22:17 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 17

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:22:23)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 15

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:22:29) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 24

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 17

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Unidad G:\ NO Protegida

Unidad G:\ NO Protegida

Unidad G:\ NO Protegida

Unidad G:\ NO Protegida

Unidad G:\ Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

Unidad G:\ YA esta Protegida

(12-2-2010 22:27:33) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 27

Nº Total de Ficheros: 1544

Nº de Ficheros Analizados: 16

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 22:46:25)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINSHOST.EXE.VIR --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WINSHOST.EXE.Muestra EliBagle v13.57

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINSHOST.EXE --> Eliminado Bagle

(12-2-2010 22:46:41)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 1975

Nº Total de Ficheros: 19164

Nº de Ficheros Analizados: 3995

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

(12-2-2010 22:57:12)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(12-2-2010 22:57:19)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad G:\ YA esta Protegida

(12-2-2010 22:57:26 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(12-2-2010 22:57:34 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

(12-2-2010 22:57:41) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LOGFILE32.TXT --> Eliminado

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(12-2-2010 22:58:00) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

(12-2-2010 22:58:1)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Nº Total de Directorios: 2179

Nº Total de Ficheros: 20700

Nº de Ficheros Analizados: 6243

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Nº Total de Directorios: 2179

Nº Total de Ficheros: 20700

Nº de Ficheros Analizados: 6823

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Nº Total de Directorios: 2179

Nº Total de Ficheros: 20700

Nº de Ficheros Analizados: 4133

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(12-2-2010 23:01:34) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

Nº Total de Directorios: 3

Nº Total de Ficheros: 24

Nº de Ficheros Analizados: 6

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

(13-2-2010 12:22:56)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(13-2-2010 12:22:59)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 12

Nº Total de Ficheros: 926

Nº de Ficheros Analizados: 17

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

(13-2-2010 12:23:8)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 2974

Nº Total de Ficheros: 25286

Nº de Ficheros Analizados: 5087

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(13-2-2010 12:34:29 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v20.32

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICES.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Services"="C:\WINDOWS\services.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(13-2-2010 12:35:14 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 2972

Nº Total de Ficheros: 23844

Nº de Ficheros Analizados: 8262

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(13-2-2010 12:43:49 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 763

Nº Total de Ficheros: 22934

Nº de Ficheros Analizados: 2172

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(13-2-2010 13:16:09) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LOGFILE32.TXT --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\I --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\updated7.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Reinicie para Completar la Limpieza.

(13-2-2010 13:16:26) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 2974

Nº Total de Ficheros: 24688

Nº de Ficheros Analizados: 7514

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(13-2-2010 13:26:44) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 763

Nº Total de Ficheros: 22932

Nº de Ficheros Analizados: 449

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Shaury · Mensaje por **Shaury** » 13 Feb 2010, 18:23

nuevo archivo encontrado que parece ser virus a sido enviado apra analisis

nombre del archivo

Wwj.exe

alojado en el inicio y en la carpeta

C:\WINDOWS\Temp\

y se experimenta probelmas para abrir paginas por lo que me cuesta ver el foro

Mensaje por **msc hotline sat** » 13 Feb 2010, 20:09

Es que has tenido de todo !

12-2-2010 22:21:32) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

G:\XQF.COM --> Eliminado, PWS-OnLineGames.CKVO

(12-2-2010 22:21:34)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINSHOST.EXE.Muestra EliBagle v13.57

(13-2-2010 12:34:29 (GMT))

EliStartPage v20.32 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v20.32

Espero que nos hayas evniado tambien estods dos que se te piden:

C:\Muestras\WINSHOST.EXE.Muestra EliBagle v13.57

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v20.32

El lunes, a la vuelta al trabajo en SATINFO, analizaremos todos los enviados e informaremos

saludos

Shaury · Mensaje por **Shaury** » 13 Feb 2010, 20:54

en teoria esta todo mandado y todo es parte del mismo problema

todo comenzo con formatear la PC sin conexion a internet ni dispositivos USB conectados

asi que esto debe ser los brazos del virus e de miaginarme

si necesitan mande algo mas me avisan mientras tanto ya envie todo lo que vi dando vueltas y lo que me pidieron

gracias y espero noticias de que hacer ahora por que formatear no sir~~[b]~~[i]v[/i][/b]e de nada y quiero instalar todo en limpio de una vez

Mensaje por **msc hotline sat** » 13 Feb 2010, 21:39

Pues el lunes, cuando volvamos al trabajo en SATINFO, los recibiremos y analizaremos, tras lo cual informaremos

saludos

ms, 13-2-2010

Shaury · Mensaje por **Shaury** » 16 Feb 2010, 16:41

Hola espero puedan darme pronta respuesta de como terminar de solucionar mi problema gracias

Mensaje por **msc hotline sat** » 16 Feb 2010, 17:18

Sí, ayer informamos del control de los nuevos malwares que detectamos en las muestras que nos enviaron, como cada día:

https://foros.zonavirus.com/viewtopic.php?f=11&t=31193

y en tu caso con el ELISTARA 20.33 actual debem ser detectados y eliminado.

~~[b]~~[i]Trojan.Vilsel.REC "APP_DLL.DLL", Trojan.Refroso.APCI "WINSHOST.EXE", Spambot.Tedroo.I "SERVICES.EXE", Malware.Tasks "WWJ.EXE"[/i][/b]

Descargalo, pruebalo e informanos del resultado...

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos

ms, 16-2-2010

Shaury · Mensaje por **Shaury** » 16 Feb 2010, 19:51

adjunto 3 archivos dudosos y el infosat ne muestras

y aqui dejo el reporte

archivos dudosos encontrados:

c:\windows\sjab.rar

c:\windows\98565a.exe

c:\windows\fc.exe

c:\windows\system32\sjab.rar

c:\windows\system32\98565a.exe

c:\windows\system32\fc.exe

INFORME INFOSAT

(16-2-2010 17:53:53 (GMT))

EliStartPage v20.34 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LOGFILE32.TXT --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(16-2-2010 17:54:18 (GMT))

EliStartPage v20.34 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Unlocker\UNINST.EXE --> Eliminado, Trojan.Yabector.B(inst)

Nº Total de Directorios: 4981

Nº Total de Ficheros: 35379

Nº de Ficheros Analizados: 11891

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

(16-2-2010 18:09:56 (GMT))

EliStartPage v20.34 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 767

Nº Total de Ficheros: 23066

Nº de Ficheros Analizados: 2181

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(16-2-2010 18:16:26) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado RootKit

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\updated7.exe"

Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminado Servicio, "SVKP"

(16-2-2010 18:16:38) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

(16-2-2010 18:16:53)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(16-2-2010 18:16:57)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/npjava11.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/npjava12.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/npjava13.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/npjava14.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/npjava32.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/npjpi160.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/npoji610.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/npt.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/orbd.exe -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/pack200.exe -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/rmi.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/rmid.exe -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/servertool.exe -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/splashscreen.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/ssv.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/sunmscapi.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/tnameserv.exe -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/unpack.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/w2k_lsa_auth.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/wsdetect.dll -> Detectado Bagle

C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\CORE1.ZIP -> bin/zip.dll -> Detectado Bagle

Nº Total de Directorios: 4984

Nº Total de Directorios: 4984

Nº Total de Ficheros: 35415

Nº Total de Ficheros: 35415

Nº de Ficheros Analizados: 7359

Nº de Ficheros Analizados: 10728

Nº de Ficheros Infectados: 21

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Nº de Ficheros Limpiados: 0

(16-2-2010 18:32:02) (GMT)

EliTriIP v6.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

(16-2-2010 18:32:3)

EliBagle v13.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\Descargas\MCAFEEROOTKITDETECTIVE.ZIP -> Rootkit_Detective.exe -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\GAME - Ragnarok\AI\USER_AI\CONTROL_PANEL_FOR_MIRAI_V1_2_(EN_DE_IT)_R3.ZIP -> mirai_cp_setup.exe -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\GAME - Ragnarok\AtlantisRO\Manuales\DROPLIST_4.0.1.ZIP -> DROPLIST.exe -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\GAME - Ragnarok\MIRAI homunculos\CONTROL_PANEL_FOR_MIRAI_V1_2_(EN_DE_IT)_R3.ZIP -> mirai_cp_setup.exe -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\GAME - Ragnarok\MIRAI homunculos\OLD_CONTROL_PANEL_FOR_MIRAI_V1_1_(EN_DE_IT).ZIP -> mirai_cp_setup.exe -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\HB\hack\ARCHIVOS_DE_CLIENTES.ZIP -> !xspeednet-setup.exe -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\HB\hack\ARCHIVOS_DE_CLIENTES.ZIP -> 351Hax.exe -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32ADLIB.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32ALGDG.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32ALGFM.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32GUSDG.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32GUSFM.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32MT32.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32MT32S.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32SBFM.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32SBPDG.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32SP1FM.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32SP2FM.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32SPKR.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> A32TANDY.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> CRACK.COM -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> INSTALAR.BAT -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> INSTALL.COM -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Juegos\SERFCITY.ZIP -> LOADPATS.EXE -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/adobe/reader/Acrofx32.dll -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/adobe/reader/AcroRd32.exe -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/adobe/reader/Agm.dll -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/adobe/reader/Browser/nppdf32.dll -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/adobe/reader/Mfc42.dll -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/adobe/reader/MSVCP50.DLL -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/adobe/reader/Msvcrt.dll -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/adobe/reader/plug_ins/Movie/QT2.dll -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/adobe/reader/plug_ins/Movie/QT3.dll -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/Boot/setup.exe -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/MPT/Addons/AtCmd.dll -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/MPT/Addons/CalEngine.dll -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/MPT/Addons/Inf/1xEV-DO_Handset_drivers/2K_XP/mo_abus.sys -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/MPT/Addons/Inf/1xEV-DO_Handset_drivers/2K_XP/mo_acmnt.sys -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/MPT/Addons/Inf/1xEV-DO_Handset_drivers/2K_XP/mo_amdm.sys -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/MPT/Addons/Inf/1xEV-DO_Handset_drivers/2K_XP/mo_awh95.sys -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/MPT/Addons/Inf/1xEV-DO_Handset_drivers/2K_XP/mo_awhnt.sys -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/MPT/Addons/Inf/1xEV-DO_Handset_drivers/98_ME/mo_abus.sys -> Detectado Bagle

D:\Descargas\Pen drive\Shaury\Programas\MOTOROLA MOBILE PHONE TOOLS 4.0 FULL FOR FREE.ZIP -> MotorolaPT4/Motorola Phone Tools 4.0/Files/MPT/Addons/Inf/1xEV-DO_Handset_drivers/98_ME/mo_acmnt.sys -> Detectado Bagle

Nº Total de Directorios: 767

Nº Total de Ficheros: 23067

Nº de Ficheros Analizados: 449

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Nº Total de Directorios: 767

Nº Total de Ficheros: 23067

Nº de Ficheros Analizados: 410

Nº de Ficheros Infectados: 43

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 16 Feb 2010, 21:11

Pues ya ves que cuando tuviste Bagle, te dejó "REGALITOS" en cada ZIP que encontró, para que en el futuro, cuando los desempaquetaras, te infectaras con lo que puso en ellos.

Conviene que abras dichos ZIP, selecciones el fichero que tiene Bagle de cada uno, y lo elimines. (Con el XP, abrelos y veras su contenido, marca el que sea y le das a eliminar)

ver http://www.zonavirus.com/noticias/2010/facil-eliminacion-de-los-ficheros-infectados-que-el-bagle-inserta-en-los-ficheros-zip-existentes.asp

Por lo demás, entendemos que se han eliminado los otros troyanos que tenías, tras ello reiniciay confirmanos que podemos dar por solucionado el Tema, gracias

saludos

ms, 16-2-2010

Shaury · Mensaje por **Shaury** » 23 Feb 2010, 03:28

HOLA: para comenzar perdonen la demora pero estu~~[b]~~[i]V[/i][/b]e muy atareado con mi trabajo y no me fue posible contestar antes; de todas formas noto la irregularidad de que pasada 1 hora a 3 horas se me corta internet si cierro algunas aplicaciones que estan el administrador de tareas esta conexion funciona bien lo que cierro son:

wmiapsrv.exe - SYSTEM

SSScheduler.exe - Administrador

spoolsv.exe - SYSTEM

taskmgr.exe - Administrador

services.exe - SYSTEM

PDVDServ.exe - Administrador

jusched.exe - Administrador

jqs.exe - Administrador

GhostStartService.exe - SYSTEM

ctfmon.exe - Administrador

Cua~~[b]~~[i]nd[/i][/b]o cierro estos procesos la conexion vuelve, aclaro que estos me parecen raros y por eso cierro todos pero no se realmente cual es el que da problemas de todos ellos pero evidentemente uno de ellos es el culpable, no adjunto muestras ya que no vi nada raro y tambien procedi a limpiar los archivos *.RAR que me ~~[b]~~[i]h[/i][/b]a dicho pero sigo con problemas aunque admito ME SOLUCIONARON GRAN PARTE del probelma salvo por el detalle de la conexion de internet y estoy enteramente agradecido realmente hacen un trabajo estupendo mas siendo este servicio gratuito y a continuacion les dejo informe del INFOSAT:

INFOSAT

(22-2-2010 3:16:34)

EliBagle v13.59 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(22-2-2010 3:16:38)

EliBagle v13.59 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 5111

Nº Total de Ficheros: 41397

Nº de Ficheros Analizados: 7306

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(22-2-2010 3:54:24)

EliBagle v13.59 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 715

Nº Total de Ficheros: 23420

Nº de Ficheros Analizados: 274

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(22-2-2010 4:11:02) (GMT)

EliPalevo v1.39 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(22-2-2010 4:11:06) (GMT)

EliPalevo v1.39 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 5112

Nº Total de Ficheros: 41909

Nº de Ficheros Analizados: 2944

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(22-2-2010 4:16:49) (GMT)

EliPalevo v1.39 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 715

Nº Total de Ficheros: 23420

Nº de Ficheros Analizados: 259

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(22-2-2010 4:20:29 (GMT))

EliStartPage v20.37 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(22-2-2010 4:21:24 (GMT))

EliStartPage v20.37 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 5106

Nº Total de Ficheros: 35791

Nº de Ficheros Analizados: 12096

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(22-2-2010 4:41:42 (GMT))

EliStartPage v20.37 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 715

Nº Total de Ficheros: 23422

Nº de Ficheros Analizados: 2059

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(22-2-2010 4:51:19) (GMT)

EliTriIP v6.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado RootKit

Eliminado Servicio, "SVKP"

(22-2-2010 4:51:28) (GMT)

EliTriIP v6.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 5106

Nº Total de Ficheros: 35793

Nº de Ficheros Analizados: 10772

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(22-2-2010 11:02:46) (GMT)

EliTriIP v6.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 716

Nº Total de Ficheros: 23461

Nº de Ficheros Analizados: 314

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 23 Feb 2010, 04:52

Algunos de los que indica son propios del sistema operativo y otros son de aplicaciones opcionales, y especialmente este SSSCHELUDER.EXE es muy sospechoso por http://www.incodesolutions.com/threats3/Win32Rootssschedulerexe.php

Añada .VIR a la extension de dicho fichero, para que no se cargue a partir dle proximo reinicio, y envienoslo para analizar:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

Aparte, posteenos el log generado por el SPROCES y lo analizaremos:

[quote="msc"]
~~[b]~~SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.

saludos

ms, 23-2-2010

Shaury · Mensaje por **Shaury** » 25 Feb 2010, 22:01

El archivo lo busco pero SSScheluder.exe no lo puedo encontrar!

aca adjunto el archivo que me dijo:

(25-2-2010 20:58:02 GMT)

SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: diaz

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCHSVX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGRSX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCSRVX.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIV~1\AVG\AVG9\AVGTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE SECURITY SCAN\2.0.181\SSSCHEDULER.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGNSX.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JAVAW.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

D:\DESCARGAS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.ar

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Archivos de programa\AVG\AVG9\Toolbar\IEToolbar.dll

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Archivos de programa\AVG\AVG9\Toolbar\IEToolbar.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Archivos de programa\AVG\AVG9\Toolbar\IEToolbar.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - Global Startup: McAfee Security Scan Plus.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Selección inteligente de HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1266069804599

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG9\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Servicio de puerta de enlace de capa de aplicación (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: e1910 - Unknown owner - C:\WINDOWS\system32\e1910.sys

O23 - Service: Controlador de adaptador 3Com EtherLink XL 90XB/C (EL90XBC) - 3Com Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\el90xbc5.sys

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Archivos de programa\McAfee Security Scan\2.0.181\McCHSvc.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: VideoCAM Messenger (snpstd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snpstd.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Controlador de audio (WDM) VIA AC'97 (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\ac97via.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

26 Servicios.

8 de Carga Automatica.

17 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 26 Feb 2010, 06:15

Pues con el ELIMOVER busca estos dos ficheros :

C:\windows\system32\exe.exe

C:\ARCHIVOS DE PROGRAMA\MCAFEE SECURITY SCAN\2.0.181\SSSCHEDULER.EXE

ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp

y envianoslos para analizar

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

además elimina estas claves:

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)

O4 - Global Startup: McAfee Security Scan Plus.lnk

O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Archivos de programa\McAfee Security Scan\2.0.181\McCHSvc.exe

(Las dos últimas son buenas, pero tienes instalado el AVG9, y no deben lanzarse dos antivirus en un mismo ordenador, y salvo que prefirieras dejar el McAfee y desinstalar el AVG9...)

Tras lo indicado, reinicia y comentanos elr esultado, gracias

saludos

ms, 26-2-2010

Shaury · Mensaje por **Shaury** » 27 Feb 2010, 07:59

[quote="msc hotline sat"]Pues con el ELIMOVER busca estos dos ficheros :

C:\windows\system32\exe.exe NO ENCONTRADO

C:\ARCHIVOS DE PROGRAMA\MCAFEE SECURITY SCAN\2.0.181\SSSCHEDULER.EXE ENVIADO

NO ENTENDI COMO BORRAR ESO!!! y prefiero concervar el AVG

además elimina estas claves:

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)

O4 - Global Startup: McAfee Security Scan Plus.lnk

O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Archivos de programa\McAfee Security Scan\2.0.181\McCHSvc.exe

Mensaje por **msc hotline sat** » 27 Feb 2010, 08:26

Si no está el fichero: C:\windows\system32\exe.exe , no se ejecutará la clave, y podrás eliminarla, como las demás, como se indica en el segundo post del Tema del link indicado: https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Y antes borra este fichero para que tampoco se cargue el de C:\Archivos de programa\McAfee Security Scan\2.0.181\McCHSvc.exe , y tras ello reinicia y procede con la eliminacion de las claves en cuestion.

Y el lunes, cuando volvamos al trabajo en SATINFO, esperamos encontrar el fichero que nos has enviado y tras analizarlo, informaremos.

saludos

ms, 27-2-2010

Hola! (caracter de urgente y gravedad muy alta)

Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)

Re: Hola! (caracter de urgente y gravedad muy alta)