Virus CUASH.EXE y Qnd.exe en mi compu.

[flinsy]

Hola gente!

En el día de ayer me atacó muy fuertemente los virus (no se si uno es variante del otro) cuash.exe y Qnd.exe (mutan de nombre).

la cuestión que luego de un reinicio veo que aparece una ventanita al lado del reloj del PC y me pide que instale FLV Player, cuando jamás lo solicité.

Obviamente cancelo la instalación, empero el sistema me lo seguía pidiendo.

La cuestión es que el antivirus (AVG Free edition 9.x) ya no se veía el tray.

Intento infructuosamente restaurar a un evento anterior, pero no fue posible.

Intento arrancar en MODO A PRUEBA DE ERROR y tampoco es posible.

Corro el Malwarebytes 'Anti-Malware y lo detecta 11 veces.

hago todo lo que dicen los programas y sigue apareciendo.

Resulta que al final inicio mi sistema con un Kubuntu 9.x y arranco en modo Live CD.

Allí puedo acceder a los temporales y eliminar los dos archivos en cuestión.

Reinicio y el sistema sigue encontrando vestigio del malware.

La cuestión es que reinstalé Spybot S&D y me doy cuenta de que hay 3 entradas sospechosas:



Located: HK_CU:RunOnce, _nltide_3

where: .DEFAULT...

command: rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

file: C:\WINDOWS\system32\advpack.dll

size: 128512

MD5: 8FED1E0A491D4990853D23F21C59C730



Located: HK_CU:RunOnce, _nltide_3

where: S-1-5-19...

command: rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

file: C:\WINDOWS\system32\advpack.dll

size: 128512

MD5: 8FED1E0A491D4990853D23F21C59C730



Located: HK_CU:RunOnce, _nltide_3

where: S-1-5-20...

command: rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

file: C:\WINDOWS\system32\advpack.dll

size: 128512

MD5: 8FED1E0A491D4990853D23F21C59C730



Pienso que eliminando esas entradas mas el archivo del disco rígido podré sacarlo?



También pienso que quizás lo incluyó el nLite cuando hice un Win XP SP3 ya que no podía salvar mi compu (que al final tuve que reinstalar como una instalación nueva para minimizar las pérdidas) y esa sea una marca del programa.



virustotal no acusó ningún virus aunque nunca se sabe...



Acá copio lo que me acusó HiJackThis:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:45:58 p.m., on 26/04/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\AVG\AVG9\avgchsvx.exe

C:\Archivos de programa\AVG\AVG9\avgrsx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\AVG\AVG9\avgcsrvx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\AVG\AVG9\avgtray.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\MiniCLIP\mclip.exe

C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Archivos de programa\AVG\AVG9\avgnsx.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe

C:\Archivos de programa\NexusFile\NexusFile.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Safari\Safari.exe

C:\Archivos de programa\AVG\AVG9\avgui.exe

E:\Nestor\Bootzilla\BZ\Malware\HijackThis2_sfx.exe

C:\DOCUME~1\NSTOR~1\CONFIG~1\Temp\7zSB9.tmp\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.artehistrionico.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-21-2000478354-1383384898-1644491937-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Administrador')

O4 - HKUS\S-1-5-21-2000478354-1383384898-1644491937-501\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Invitado')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: MiniCLIP.lnk = C:\Archivos de programa\MiniCLIP\mclip.exe

O4 - Global Startup: Windows Search.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1271475789203

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG9\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Administrador de Google Desktop 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C:\WINDOWS\system32\IcdSptSv.exe



--

End of file - 6893 bytes





Cualquier sugerencia del porque no arranca a MODO DE ERROR será agradecida, es la primera vez que me sucede.



A mi modesto entender podría eliminar estas entradas sin miedo:



O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)



O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')



y las del Spybot:



Located: HK_CU:RunOnce, _nltide_3

where: S-1-5-??...



Solicito ayuda.



Gracias de antemano.



Saludos.

[msc hotline sat]

Recuerde https://foros.zonavirus.com/viewtopic.php?f=1&t=17044





Aparte, empiece por seguir lo indicado en :



https://foros.zonavirus.com/viewtopic.php?f=5&t=26947



y cuando haya probado el ELISTARA actual, posteenos el informe resultante. Y si no detecta este CUASH.EXE (WUAUCLDT, o como se llame ahora) como malware, envienoslo para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



y otra vez recuerde :



https://foros.zonavirus.com/viewtopic.php?f=13&t=29543



saludos



ms, 27-4-2010

RARBA





NOTA: y por lo indicado de que no puede arrancar en MODO SEGURO, aunque hay otros virus que lo hacen, pruebe el ELIBAGLA, ya que este, al ser Rootkit , no lo veríamos en los log:


[quote="para DESCARGAR el ELIBAGLA, msc"]


[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

ms.

[msc hotline sat]

Recibidos ficheros WUAUCLT del sistema, para analizar, no son maliciosos.



Con un copiar y pegar, posteenos los informes solicitados !!!



saludos



ms, 27-4-2010

[flinsy]

Hola!

Ya envié archivos posiblemente sospechosos (creo que son del Windows Update) ya que eran parecidos a los nombres que puede mutar el cuash.exe y Qnd.exe.

He eliminado el restaurar sistema ya que po[b][i]s[/i][/b]eía virus y lo volví a activar (AVG acusó los virus).

Los programas informados están chequeando mi sistema y ya encontraron un archivo que supuse eran de Realtek (por la placa de sonido) que encontraron como malo y lo eliminó (ya que estaba activada el borado automático).

No bien esté el informe lo postearé para su análisis.

Gracias!!!!

Saludos,

[flinsy]

Hola!

Este es el informe guardado en el archivo InfoSat.txt



Le di a todo eliminar, ya que el programa me daba esa opción y confié en los mismos.





(27-4-2010 13:29:47 (GMT))

EliBagle v13.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Abril del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(27-4-2010 13:52:57 (GMT))

EliStartPage v20.81 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Linea Eliminada del HOSTS --> 127.0.0.1 www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 010402.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.0scan.com

Linea Eliminada del HOSTS --> 127.0.0.1 0scan.com

Linea Eliminada del HOSTS --> 127.0.0.1 1000gratisproben.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.1000gratisproben.com

Linea Eliminada del HOSTS --> 127.0.0.1 1001namen.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.1001namen.com

Linea Eliminada del HOSTS --> 127.0.0.1 100888290cs.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.100888290cs.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.100sexlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 100sexlinks.com

...

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-4-2010 18:32:46 (GMT))

EliBagle v13.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Abril del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 23612

Nº Total de Ficheros: 203120

Nº de Ficheros Analizados: 14803

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-4-2010 20:13:36 (GMT))

EliStartPage v20.81 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\Drivers\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\Néstor\Mis documentos\Bootzilla\CGT\AUTORUN.INF --> Eliminado, DownLoader.Grecls.A(inf)

C:\Documents and Settings\Néstor\Mis documentos\Descargas\RECUPERA CONTRASEñA ROCKXP3.EXE --> Eliminado, LowZones(dr)

C:\Documents and Settings\Néstor\Mis documentos\My Drivers\MEDIA\hdaudio\func_01&ven_10ec&dev_0883\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\Néstor\Mis documentos\My Drivers\no windows\MEDIA\hdaudio\func_01&ven_10ec&dev_0883\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\qoobox\Quarantine\C\WINDOWS\system32\PROCESS.EXE.VIR --> Eliminado, RiskTool.PrcView

C:\WINDOWS\system32\ReinstallBackups\0029\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 23622

Nº Total de Ficheros: 203677

Nº de Ficheros Analizados: 66508

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 8



Saludos,

[msc hotline sat]

Verás, los que nos enviaste fueron los WUACLT del sistema, mientras que los que te pedíamos eran los WUACLDT o con el nombre que hubieran mutado estos cuash.exe y Qnd.exe, o ellos mismos si aun los tienes:



http://info.prevx.com/aboutprogramtext.asp?PX5=101353BE00BEDED9CC4400FD0F806B008012E723



Pueden tener cualquier otro nombre, estos son los conocidos, pero en tu caso mejor posteanos el informe generado por el SPROCES (ya que el del HJT es mas limitado) a ver si vemos con qué nombre lo tienes, si no encuentras los indicados.




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 28-4-2010

[flinsy]

Hola!

Acá está el informe de Sproces.

Observé que todos los servicios que dice Missing son los que estaba el virus que eliminé con Malwarebytes.

Como debo eliminar esas entradas?

Vi que hay otros procesos que para mi son dudosos, pero no estoy seguro y sin duda ustedes me dirán si está todo bien o no.



(28-4-2010 14:55:06 GMT)

SProces v4.5 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: FLINSY

Nombre Usuario: Néstor



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCHSVX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGRSX.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCSRVX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIV~1\AVG\AVG9\AVGTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLE DESKTOP SEARCH\GOOGLEDESKTOP.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\MINICLIP\MCLIP.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\WINDOWSSEARCH.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLE DESKTOP SEARCH\GOOGLEDESKTOP.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\ONENOTEM.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGNSX.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\OFFICE12\OFFLB.EXE

C:\ARCHIVOS DE PROGRAMA\SAFARI\SAFARI.EXE

C:\ARCHIVOS DE PROGRAMA\NEXUSFILE\NEXUSFILE.EXE

C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

C:\DOCUMENTS AND SETTINGS\NéSTOR\MIS DOCUMENTOS\DESCARGAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.artehistrionico.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: MiniCLIP.lnk = C:\Archivos de programa\MiniCLIP\mclip.exe

O4 - Global Startup: Windows Search.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NWPROVAU.DLL

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1271475789203

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG9\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ambfilt - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\Ambfilt.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Administrador de Google Desktop 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C:\WINDOWS\system32\IcdSptSv.exe

O23 - Service: Sony IC Recorder (P) (ICDUSB2) - Sony Corporation - C:\WINDOWS\SYSTEM32\Drivers\ICDUSB2.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Servicio enumerador IR (IRENUM) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\irenum.sys (file missing)

O23 - Service: MEMSWEEP2 - Unknown owner - C:\WINDOWS\system32\1.tmp (file missing)

O23 - Service: Monfilt - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\Monfilt.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: RT73 USB Wireless LAN Card Driver (RT73) - Ralink Technology, Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\rt73.sys

O23 - Service: Realtek 10/100/1000 PCI NIC Family NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smserial - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\smserial.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



23 Servicios.

4 de Carga Automatica.

18 de Carga Manual.

1 Deshabilitados.



Gracias por todo.

Saludos desde Buenos Aires,

[msc hotline sat]

Pues envianos estos ficheros para analizar:



C:\ARCHIVOS DE PROGRAMA\MINICLIP\MCLIP.EXE



C:\ARCHIVOS DE PROGRAMA\NEXUSFILE\NEXUSFILE.EXE



y tanto para el envio como la eliminacion de claves:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 30-4-2010

[flinsy]

Hola!

Los enviaré aunque adelanto que Nexus es un navegador de Windows muy liviano y que hace años que utilizo y lo actualizo cada tanto. Igualmente lo enviaré por si se han infectado.

Mclip es un Mini Clip que en algún momento desarrollo MediaChance, empresa que luego lo discontinuó, pero la utilidad me sirve desde el 2002 que fue la última actualización.

Son programitas inofensivos (bah, eso es lo que me parece), hace años que los uso.

Enviaré los instaladores y los archivos instalados en mi compu para que lo analices para saber si son los problemáticas, aunque espero que no.

Gracias.

[msc hotline sat]

Si son viejos conocidos suyos no hace falta que los envie, se los pedíamos al no ser usuales ni conocidos por nosotros, por si fueran troyanos, pero no es probable que estén infectados ya que de estarlo, lo estarían muchos mas ejecutables.



Trate de eliminar las claves que decía, y tras reiniciar nos informa del resultado, pero si persisten los problemas, sin muestras de los ficheros malwares, poco podemos hacer...



Otra vez, antes de eliminarlos con otras utilidades como el MBAM, envienos muestra para analizar, pues de lo contrario puede estar quemando las naves...



Informenos del resultado, gracias



saludos



ms, 1-5-2010

[flinsy]

Hola Msc!

he podido aislar el archivo que fue el causante y lo enviaré para su análisis, fue el que instaló y propagó en todo mi sistema el virus mencionado.

Empero hice lo mismo en otro sistema y el virus pude eliminarlo sin problema y si arranca en modo a Prueba de Error.

Espero que con el archivo puedan darme una orientación.

En el sistema que infecté la verdad que fue fácil eliminarlo y no tuve que hacer todo lo que hice en este sistema, los dos son Win XP SP3 Pro. la diferencia, que no debería serlo, es que la mía es notebook y la otra es desktop.

Feliz día del trabajo (al menos aquí en Argentina).

Saludos.

Flinsy

[flinsy]

Otra cosa: para pasar de una compu a otra he renombrado el archivo con extensión .txt, por lo tanto ustedes sabrán que hacer.

Lo hice para asegurarme de no infectarla otra vez.

Saludos.

[msc hotline sat]

Para evitar riesgos y poder enviar los ficheros sospechos sin que sean interceptados por los servidores de internet, siempre recomendamos empaquetarlos en un ZIP o RAR con password virus:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 1-5-2010

[flinsy]

Hola!

Encontré otro archivo infectado en mi sistema, yo ya lo había detectado y lo había renombrado para ver si era o no necesario, lo adjunto para su análisis.

El nombre es lsass.exe.bak

Saludos,

[flinsy]

Hola!

Evidentemente no se empaquetó el archivo con el password, pido disculpas, lo verificaré que esté bien el parámetro de mi configuración.

Saludos,

[msc hotline sat]

Mejor que cuando aparque algun fichero añadiendole una extensión, utilice .VIR, pues asi nuestras utilidades tambien lo escanearán, mientras que .BAK no la analizarán.



Da igual el que nos haya enviado, ya lo cambiaremos nosotros, pero en el de su ordenador, mejor cambiale el .BAK por .VIR, y asi lo detectaremos con la nueva versión que hagamos al respecto.



Mañana, cuando volvamos al trabajo en SATINFO, veremos si se han recibido dichas muestras y obraremos en consecuencia, de lo cual informaremos.



Es posible que sin password la recibamos, pero cifrando las muestras con password se evita el que los servidores de internet, por los que pasa, lo intercepten.



saludos



ms, 2-5-2010

[msc hotline sat]

Recibidos ficheros para analizar, se detecta malware VILSEL cuyo control y eliminación se implementa en la nueva versión del ELISTARA de hoy, 20.86



De todos modos es un mal bicho que se protege con dos procesos distintos, que uno regenera el otro, y ademas va cambiando de nombre continuamente, por lo que no se sabe el nombre del fichero que se está ejecutando maliciosamente, pero se detectará y eliminará por cadenas, y si no puede por estar en uso, programará su eliminación en el siguiente reinicio.



Si tras dos reinicios persistiera el problema, indiquenoslo y bloquearíamos la creación del LSASS malware (no confundirlo con el de sistema !)




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





Tras proberlo, cuentenos el reultado, gracias:





saludos



ms, 3-5-2010