VIRUS

sackettxxx · Mensaje por **sackettxxx** » 28 Jun 2010, 21:13

TENGO UN VIRUS EN MI PC SE REINICIA SE CUELGA LO ELIMINO Y SIGUE SALIENDO CUANDO VUELVO A PASAR ALGUN ANTIVIRUS AYUDEN A ELIMINARLO ESTE ES MI LOG DE HIJACKTHIS Y TAMBIEN LE PASE EL

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 14:10:05, on 28/06/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe

C:\Archivos de programa\Microsoft Office\Office12\EXCEL.EXE

C:\Archivos de programa\Controlador\Control de Ciber\servidor.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\Mozilla Firefox\plugin-container.exe

C:\Archivos de programa\Trend Micro\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.pe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0974848a-b5bc-49f2-9778-307742b4a55d} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [systemr4] C:\WINDOWS\system32\system1r.exe

O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS\VMSnap3.exe

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} ("Ma-Config.com control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_4_1_0_2.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{334A7E45-A659-42A1-8C08-671586E6CE9C}: NameServer = 200.48.225.130,200.48.225.146

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Archivos de programa\ma-config.com\maconfservice.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 7478 bytes

AQUI MI LOG AL PASARLE EL BIT DEFENDER ON LINE AYUDENME GRACIAS

QuickScan Beta 32-bit v0.9.9.23

-------------------------------

Fecha de Análisis: Mon Jun 28 13:55:30 2010

ID de la Máquina: D0BC501C

¡Encontrado 1 archivo infectado!

--------------------------------

C:\WINDOWS\system32\system1r.exe --> Trojan.Generic.4122867

--> HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"systemr4"

Procesos

--------

<sin firma> IoctlSvc Application 1288 C:\WINDOWS\system32\IoctlSvc.exe

<sin firma> servidor.exe 3744 C:\Archivos de programa\Controlador\Control de Ciber\servidor.exe

<verificado> 2007 Microsoft Office system 3696 C:\Archivos de programa\Microsoft Office\Office12\EXCEL.EXE

<verificado> Firefox 872 C:\Archivos de programa\Mozilla Firefox\firefox.exe

<verificado> Java(TM) Platform SE 6 U20 1084 C:\Archivos de programa\Java\jre6\bin\jqs.exe

<verificado> Malwarebytes' Anti-Malware 1144 C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

<verificado> Microsoft® Windows® Operating System 1412 C:\WINDOWS\System32\alg.exe

<verificado> Microsoft® Windows® Operating System 664 C:\WINDOWS\system32\csrss.exe

<verificado> Microsoft® Windows® Operating System 1836 C:\WINDOWS\system32\ctfmon.exe

<verificado> Microsoft® Windows® Operating System 756 C:\WINDOWS\system32\lsass.exe

<verificado> Microsoft® Windows® Operating System 1604 C:\WINDOWS\system32\spoolsv.exe

<verificado> Microsoft® Windows® Operating System 960 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 1028 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 1116 C:\WINDOWS\System32\svchost.exe

<verificado> Microsoft® Windows® Operating System 1180 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 1320 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 1352 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 540 C:\WINDOWS\system32\wscntfy.exe

<verificado> Nero BackItUp 1212 C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

<verificado> NVIDIA Driver Helper Service, Version 1 928 C:\WINDOWS\system32\nvsvc32.exe

<verificado> Sistema operativo Microsoft® Windows® 1536 C:\WINDOWS\Explorer.EXE

<verificado> Sistema operativo Microsoft® Windows® 744 C:\WINDOWS\system32\services.exe

<verificado> Sistema operativo Microsoft® Windows® 404 C:\WINDOWS\System32\smss.exe

<verificado> Sistema operativo Microsoft® Windows® 700 C:\WINDOWS\system32\winlogon.exe

<verificado> TuneUp Utilities 1428 C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe

<verificado> TuneUp Utilities 1672 C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

<verificado> Windows Live Messenger 1844 C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

Actividad de red

----------------

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 96.16.85.115

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 199.7.52.190

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 69.63.189.26

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 74.125.67.100

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 200.60.136.49

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 80.239.205.83

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 80.239.205.83

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 208.117.234.39

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 216.137.47.164

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 80.239.205.83

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 80.239.205.83

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 74.125.45.138

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 199.7.52.190

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 80.239.205.83

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 74.125.45.138

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 69.63.189.26

Proceso firefox.exe (872) conectado en el puerto 80 (HTTP) --> 80.239.205.83

Proceso servidor.exe (3744) conectado en el puerto 1147 --> 192.168.1.37

Proceso servidor.exe (3744) conectado en el puerto 1735 --> 192.168.1.34

Proceso servidor.exe (3744) conectado en el puerto 1695 --> 192.168.1.42

Proceso servidor.exe (3744) conectado en el puerto 1061 --> 192.168.1.36

Proceso servidor.exe (3744) conectado en el puerto 2805 --> 192.168.1.40

Proceso servidor.exe (3744) conectado en el puerto 1505 --> 192.168.1.39

Proceso servidor.exe (3744) conectado en el puerto 3405 --> 192.168.1.43

Proceso servidor.exe (3744) conectado en el puerto 1138 --> 192.168.1.41

Proceso servidor.exe (3744) conectado en el puerto 1174 --> 192.168.1.4

Proceso servidor.exe (3744) conectado en el puerto 3170 --> 192.168.1.33

Proceso servidor.exe (3744) conectado en el puerto 3546 --> 192.168.1.45

Proceso servidor.exe (3744) conectado en el puerto 4362 --> 192.168.1.5

Proceso svchost.exe (1028) escuchar en puertos: 135 (RPC)

Proceso servidor.exe (3744) escuchar en puertos: 10000 (Webmin)

Autoruns y archivos críticos

----------------------------

<sin firma> BIGDOG C:\WINDOWS\VMSnap3.exe

<sin firma> Domino C:\WINDOWS\Domino.exe

<sin firma> qXjK7p6h C:\WINDOWS\system32\system1r.exe

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\ctfmon.exe

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\dimsntfy.dll

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\WPDShServiceObj.dll

<verificado> NVIDIA Compatible Windows 2000 Display C:\WINDOWS\system32\nvcpl.dll

<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\browseui.dll

<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\crypt32.dll

<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\cscdll.dll

<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\logonui.exe

<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\sclgntfy.dll

<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\shell32.dll

<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\stobject.dll

<verificado> Sistema operativo Microsoft® Windows® c:\windows\system32\userinit.exe

<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\wlnotify.dll

<verificado> Windows Live Messenger C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

<verificado> Windows® Internet Explorer C:\WINDOWS\system32\webcheck.dll

Plugins del Navegador

---------------------

<sin firma> Control de carga de fotos de MSN C:\WINDOWS\Downloaded Program Files\PURes-es.dll

<sin firma> Control de carga de fotos de MSN C:\WINDOWS\Downloaded Program Files\PURes-us.dll

<sin firma> FFExternalAlert.dll C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\psgl3qme.default\extensions\{0974848a-b5bc-49f2-9778-307742b4a55d}\components\FFExternalAlert.dll

<sin firma> InstallShield Update Service C:\WINDOWS\Downloaded Program Files\dwusplay.dll

<sin firma> InstallShield Update Service C:\WINDOWS\Downloaded Program Files\dwusplay.exe

<sin firma> InstallShield Update Service C:\WINDOWS\Downloaded Program Files\isusweb.dll

<sin firma> Nexon Game Controller C:\Documents and Settings\All Users\Datos de programa\NexonUS\NGM\npNxGameUS.dll

<sin firma> RadioWMPCore.dll C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\psgl3qme.default\extensions\{0974848a-b5bc-49f2-9778-307742b4a55d}\components\RadioWMPCore.dll

<verificado> AcroIEHelper Library c:\archivos de programa\archivos comunes\adobe\acrobat\activex\acroiehelper.dll

<verificado> Adobe Acrobat C:\Archivos de programa\Mozilla Firefox\plugins\nppdf32.dll

<verificado> BitDefender QuickScan C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\psgl3qme.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll

<verificado> BitDefender QuickScan C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\psgl3qme.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll

<verificado> Java(TM) Platform SE 6 U20 c:\archivos de programa\java\jre6\bin\jp2ssv.dll

<verificado> Java(TM) Platform SE 6 U20 c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

<verificado> Ma-Config.com plugin C:\Archivos de programa\ma-config.com\nphardwaredetection.dll

<verificado> Messenger C:\Archivos de programa\Messenger\msmsgs.exe

<verificado> Microsoft® Windows Live Login Helper c:\archivos de programa\archivos comunes\microsoft shared\windows live\windowslivelogin.dll

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\rsvpsp.dll

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\winrnr.dll

<verificado> Mozilla Default Plug-in C:\Archivos de programa\Mozilla Firefox\plugins\npnul32.dll

<verificado> MSN Photo Upload Control C:\WINDOWS\Downloaded Program Files\PURen-us.dll

<verificado> NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll

<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\mswsock.dll

<verificado> Windows Live Photo Upload Control C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll

<verificado> Windows® Internet Explorer C:\WINDOWS\system32\ieframe.dll

<verificado> Yahoo Application State Plugin C:\Archivos de programa\Yahoo!\Shared\npYState.dll

Archivos perdidos

-----------------

Archivo no encontrado: C:\Archivos de programa\Pando Networks\Media Booster\npPandoWebPlugin.dll

hace referencia a: HLKM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin\"Path"

Archivo no encontrado: E:\rfg.exe

hace referencia a: E:\autorun.inf

Analizar

--------

<sin firma> MD5: 00b678566b7f4b2cad2490d0552d0619 C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\pdfshell.dll

<sin firma> MD5: bc24cfb8f1f16ec9fe70da796a160f1f C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\pdfshell.ESP

<sin firma> MD5: d05b173d8c7e3b026e68b81fe6221467 C:\Archivos de programa\Controlador\Control de Ciber\servidor.exe

<sin firma> MD5: 86f1895ae8c5e8b17d99ece768a70732 C:\Archivos de programa\Java\jre6\bin\msvcr71.dll

<sin firma> MD5: dcc3c8e9eff9bcfd40e76962b6249c76 C:\Archivos de programa\Mozilla Firefox\freebl3.dll

<sin firma> MD5: 4be8a5231d8b4e3333e24199fc718adb C:\Archivos de programa\Mozilla Firefox\nssdbm3.dll

<sin firma> MD5: 2943a7f8df04523c7ed9e75dd7fda22a C:\Archivos de programa\Mozilla Firefox\softokn3.dll

<sin firma> MD5: ebebdbf1df7621623bbc5af82b533542 C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\psgl3qme.default\extensions\{0974848a-b5bc-49f2-9778-307742b4a55d}\components\FFExternalAlert.dll

<sin firma> MD5: 696f6787818300362f15485d654f6887 C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\psgl3qme.default\extensions\{0974848a-b5bc-49f2-9778-307742b4a55d}\components\RadioWMPCore.dll

<sin firma> MD5: 6d657abadf217dbb17cf0a0af44a7e29 C:\Documents and Settings\All Users\Datos de programa\NexonUS\NGM\npNxGameUS.dll

<sin firma> MD5: f9caac9d8c767e51affd396edfd20c96 C:\WINDOWS\Domino.exe

<sin firma> MD5: 3fea9d2edf23b0283c7a66c8dea380bd C:\WINDOWS\Downloaded Program Files\dwusplay.dll

<sin firma> MD5: cdbe35ea59bc9223e4f800bd1db82d27 C:\WINDOWS\Downloaded Program Files\dwusplay.exe

<sin firma> MD5: 0c78701c6f42345dff2b2b6c3c3d01ef C:\WINDOWS\Downloaded Program Files\isusweb.dll

<sin firma> MD5: ee5c6390a649d5d3fc98f9ab7ed17f8c C:\WINDOWS\Downloaded Program Files\PURes-es.dll

<sin firma> MD5: ee5c6390a649d5d3fc98f9ab7ed17f8c C:\WINDOWS\Downloaded Program Files\PURes-us.dll

<sin firma> MD5: 4342b8aa3353862db5acef3edaa21ae3 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Aspnet_perf.dll

<sin firma> MD5: 50dc192e80eb75916a83c3191de6a522 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CORPerfMonExt.dll

<sin firma> MD5: 506dbadc2a9d7841eb0871442550962a C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll

<sin firma> MD5: ff686302948b92caa2358ebe27d3b96b C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\PerfCounter.dll

<sin firma> MD5: ea7267505149b3a10df32506a4e4e412 C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

<sin firma> MD5: 8070bb07fe06de8b9acb29b07016a273 C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe

<sin firma> MD5: b250b8e44e6e05a0f237c258d0b7f10c C:\WINDOWS\System32\Drivers\usbVM303.sys

<sin firma> MD5: b952b84bf21c13027258a3f027511dda C:\WINDOWS\system32\drivers\vvftav303.sys

<sin firma> MD5: 875e4e0661f3a5994df9e5e3a0a4f96b C:\WINDOWS\system32\IoctlSvc.exe

<sin firma> MD5: bf8b232493f18d1ee00d07a23c04ad3f C:\WINDOWS\system32\mscoree.dll

<sin firma> MD5: 31fb4b337dd09bdf99429d7dbb5fdd48 C:\WINDOWS\system32\netfxperf.dll

<sin firma> MD5: ca56ff8bb1a6a81093bd784510ae7325 C:\WINDOWS\system32\nvrses.dll

<sin firma> MD5: d5c9dc605e1acb57bf37be3e9890b936 C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll

<sin firma> MD5: 9247e0fe8f5fa90588472c18b2c702bf C:\WINDOWS\system32\system1r.exe

<sin firma> MD5: 351b024862b7a14be3f4b4df9dc05f75 C:\WINDOWS\system32\VM303Prp.Ax

<sin firma> MD5: 0b1e2a37aab87034314d8014f23221b2 C:\WINDOWS\VMSnap3.exe

<sin firma> MD5: 4928ab3a304ddf05c354de3807a4a66b C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_b77cec8e\mfc80.dll

<sin firma> MD5: fe9ace2dabb257f28eaef57b48f87502 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_0ccc058c\mfc80ESP.dll

Archivo no enviado

Scan finished - communication took 6 sec

Total traffic - 0.06 MB enviado, 3.15 KB recibido

Scanned 996 files and modules - 93 seconds

==============================================================================

Mensaje por **msc hotline sat** » 28 Jun 2010, 21:30

Ante todo recuerde : https://foros.zonavirus.com/viewtopic.php?f=13&t=29543

A pesar de ello, vemos que tiene esta clave que lanza un malware:

O4 - HKLM\..\Run: [systemr4] C:\WINDOWS\system32\system1r.exe

es un troyano del tipo BANKER:

http://www.prevx.com/filenames/X1881579483249914635-426166187/SYSTEM%5B1%5D.EXE.html

AÑade .VIR a la extension de este fichero: C:\WINDOWS\system32\system1r.exe

y envianoslo para analizar y controlar:

>~~[b]~~ENVIO DE MUESTRAS Y ELIMINACION DE

CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en

nuestras utilidades, de lo cual informaremos

saludos

ms, 28-6-2010

Y como que vemos que ha tenido virus de pendrive, vacune su ordenador y pendrives con el ELIPEN:

vacune todas sus unidades de disco y pendrive con el ELIPEN:

~~[b]~~ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso. ms.

sackettxxx · Mensaje por **sackettxxx** » 28 Jun 2010, 22:12

28-6-2010 20:10:58 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: SAHI

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\VMSNAP3.EXE

C:\WINDOWS\DOMINO.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

C:\WINDOWS\SYSTEM32\IOCTLSVC.EXE

C:\ARCHIVOS DE PROGRAMA\CONTROLADOR\CONTROL DE CIBER\SERVIDOR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESSERVICE32.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESAPP32.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\EXCEL.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMP.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMINDEXINGSERVICE.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\DESCARGAS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.pe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {0974848a-b5bc-49f2-9778-307742b4a55d} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [systemr4] C:\WINDOWS\system32\system1r.exe

O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS\VMSnap3.exe

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} ("Ma-Config.com control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_4_1_0_2.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{334A7E45-A659-42A1-8C08-671586E6CE9C}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\vvftav303.sys (de 475136 bytes) () Vimicro Corporation

Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: driverhardwarev2 - CybelSoft - C:\Archivos de programa\ma-config.com\Drivers\driverhardwarev2.sys

O23 - Service: EagleNT - Unknown owner - C:\WINDOWS\system32\drivers\EagleNT.sys (file missing)

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Archivos de programa\ma-config.com\maconfservice.exe

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\system32\drivers\mbam.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI NIC Family NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys

O23 - Service: vvftav303 - Vimicro Corporation - C:\WINDOWS\SYSTEM32\drivers\vvftav303.sys

O23 - Service: VIMICRO USB PC Camera (ZC0301PLH) (ZSMC0303) - Vimicro Corporation - C:\WINDOWS\SYSTEM32\Drivers\usbVM303.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

25 Servicios.

8 de Carga Automatica.

16 de Carga Manual.

1 Deshabilitados.

sackettxxx · Mensaje por **sackettxxx** » 28 Jun 2010, 22:32

YA ENVIE LA MUESTRA PRIMERO LA MANDE SIN CONTRASEÑA PORQUE ME OLVIDES AHORA YA LA ENVIE CON CONTRASEÑA VIRUS ESPERO SU REPUESTA GRACIAS

Mensaje por **msc hotline sat** » 29 Jun 2010, 06:08

Pues gracias al SPROCES vemos que te falta instalar el parche contra el Conficker !!!

Parche MS08-067 (Servicio Servidor) NO Instalado.

Lanza un windowsupdate e instala los que detectes que faltan, ya que si tienes agujeros de seguridad, nada pueden hacer los antivirus para evitar que entren malwares por ellos...

Y lógicamente vemos la clave de carga del malware:

O4 - HKLM\..\Run: [systemr4] C:\WINDOWS\system32\system1r.exe

pero si ya le has añadido .VIR a su extension, ya estará aparcado, y a partir del proximo reinicio ya no incordiará.

Dentro de unas horas entraremos a trabajar en SATINFO, donde se analizará la muestra que has enviado y, si es malware como sospechamos, implementaremos su control y eliminación del ficheros y claves (o restauración de las modificadas) en las nuevas versiones de nuestras utilidades, de lo cual informaremos.

saludos

ms, 29-6-2010

Mensaje por **msc hotline sat** » 29 Jun 2010, 12:15

El fichero recibido no es ejecutable, en su interior no es un EXE, y si bien se conoce un malware con dicho nombre (ver http://www.prevx.com/filenames/X1881579483249914635-426166187/SYSTEM%5B1%5D.EXE.html) , por esto le hemos pedido la muestra, lo que tiene dicho fichero es texto ASCII que parece proceder de un keylogger que tenga instalado en el ordenador.

Por ejemplo una de las ultimas lineas dice:

TENGO UN VIRUS EN MI PC AþRETROCESOþAYUDEN A ELIMINARLO ESTE ES MI LOG DE HIJACKTHIS Y TAMBIEN LE DI þRETROCESOþþRETROCESOþþRETROCESOþþRETROCESOþ PASE EL ÿÚ 8Report ~~[b]~~2010-06-28 13.55.30 [/b]- Bloc de notasÿþCTRLþþCTRLþÿÚ , • Publicar un nuevo tema - Mozilla FirefoxÿþENTRARþ

Posteó Vd el problema en algun otro foro ??? , porque esto parece ser de ayer a las 13:55, y a nosotros nos escribió antes, y ademas con otras palabras...

Sea como sea, este fichero no es ejecutable y es muy sospechoso de que tenga instalado algo que le esté capturando las entradas de teclado y enviandoas a un control remoto ...

Abra dicho fichero con el BLOC DE NOTAS y vea su contenido, igual se sorprenderá...

Quizas esta asociado a esta aplicacion, que supongo que tiene instalada con conocimiento de causa:

C:\ARCHIVOS DE PROGRAMA\CONTROLADOR\CONTROL DE CIBER\SERVIDOR.EXE

saludos

ms, 29-6-2010

VIRUS

VIRUS

Re: VIRUS

aki esta el nuevo log

ya envie la muestra del archivo infectado

Re: VIRUS

Re: VIRUS