Cargando configuracion personal....... ahi queda

rvega · Mensaje por **rvega** » 08 Sep 2010, 17:39

Hola a todos, le comento mi problema: desde ayer el pc se queda pegado en la parte donde dice cargando su configuracion......., como a los 15 min pasa a otro pantalla que pareciera la del escritorio pero se queda ahi, ya habia estado fallando desde antes con "cosas extrañas", por ej:

Habian sitios que directamente no se abrian: www.zonavirus.com, casi todos los antivirus online, la pagina de descarga del nod32, el nod32 no se actualizaba, instale el avast!, lo corri, no detecto nada pero hace como 2 semanas empezo a mostrar un mensaje que decia que un archivo temporal ncrm.tmp tenia un troyano, y lo mandaba al baul,borraba ese archivo y aparecia de nuevo enseguida, le pase el spybot,nada, el hijackthis, borre algunas cosas, nada, sigue igual, trate de instalar el malwarebytes, lo instale pero al momento de ejecutar, se cierra, el adware no termina de instalar.

Cree otro usuario por las dudas que ese estuviera fallando y tampoco pasa nada.

archivo host, limpio, le pase el elistara, tampoco encontro nada.

Arrancar la ultima configuracion buena conocida, tampoco arranca

El pc arranca a prueba de fallos y a prueba de fallo con conexion de red.

Windows XP pro con SP3, ayuda porfa, ya que NO puedo formatear, por que hay instalado un prg propietario que no tiene el instalador, sino ya lo hubiese formateado, saludos

Quique

Mensaje por **msc hotline sat** » 08 Sep 2010, 18:47

Perfecto, entonces en MODO SEGURO CON FUNCIONES DE RED descarga el SPROCES.EXE y nos postea el informe resultante:

~~[b]~~SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar

saludos

ms, 8-9-2010

NOTA, aparte, siquiere, descargue y ejecute del mismo modo anterior estos otros:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

~~[b]~~ ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp

~~[b]~~ ELIPALEVO: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp

[/quote]

y si se sospecha que es un virus que se propaga por pendrive:

~~[b]~~ELIPEN.EXE[/b] (vacuna de protección)

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos .

Y decimos tambien el ELISTARA porque acabamos de subir una nueva version mucho mas potente con el WORM VBNA que está en boga ! ms.

rvega · Mensaje por **rvega** » 08 Sep 2010, 20:02

ahi va el informe, ahora voy a correr los otros prg, gracias

(8-9-2010 17:58:05 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: SERVIDOR

Nombre Usuario: Aladiro

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ZONAVIRUS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.cl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - Locked - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast5] C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NWPROVAU.DLL

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O16 - DPF: {E6BB2089-163F-466B-812A-748096614DFD} (CAScanner Control) - http://cainternetsecurity.net/scanner/cascanner.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: LMIINIT - LMIINIT.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\HSF_CNXT.sys (de 594384 bytes) (+r) Conexant Systems

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\smwdm.sys (de 578432 bytes) () Analog Devices, Inc.

WinSys\Drivers\sptd.sys (de 715248 bytes) ()

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LogMeIn Kernel Information Provider (LMIInfo) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaInfo.sys

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn Remote File System Driver (LMIRfsDriver) - LogMeIn, Inc. - C:\WINDOWS\system32\drivers\LMIRfsDriver.sys

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: catchme - Unknown owner - C:\DOCUME~1\Aladiro\CONFIG~1\Temp\catchme.sys (file missing)

O23 - Service: Mandato remoto de Client Access Express (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Adapter Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: D-Link PCI Fast Ethernet Adapter Driver Service (FETNDISB) - D-Link - C:\WINDOWS\SYSTEM32\DRIVERS\dlkfet5b.sys

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: HSFHWBS2 - Conexant Systems - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWBS2.sys

O23 - Service: HSF_DP - Conexant Systems - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: lmimirr - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lmimirr.sys

O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys (file missing)

O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys (file missing)

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PcdrNt - PC-Doctor Inc. - C:\WINDOWS\System32\drivers\PcdrNt.sys

O23 - Service: Mouse Suite Driver (pelmouse) - Primax Electronics Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\pelmouse.sys

O23 - Service: USB Mouse Low Filter Driver (pelusblf) - Primax Electronics Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\pelusblf.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys (file missing)

O23 - Service: winachsf - Conexant Systems - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINDOWS\system32\PDFCreatorMessages.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

44 Servicios.

11 de Carga Automatica.

25 de Carga Manual.

8 Deshabilitados.

rvega · Mensaje por **rvega** » 08 Sep 2010, 20:22

ahi va el otro

(8-9-2010 18:09:43 (GMT))

EliTriIP v6.92 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Septiembre del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(8-9-2010 18:20:55 (GMT))

EliTriIP v6.92 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Septiembre del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 12686

Nº Total de Ficheros: 119910

Nº de Ficheros Analizados: 38756

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(8-9-2010 18:22:49 (GMT))

EliStartPage v21.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

(8-9-2010 18:27:50 (GMT))

EliStartPage v21.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 12677

Nº Total de Ficheros: 119237

Nº de Ficheros Analizados: 44657

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(8-9-2010 18:29:27 (GMT))

EliBagle v14.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Septiembre del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(8-9-2010 18:31:30 (GMT))

EliBagle v14.04 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Septiembre del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 12677

Nº Total de Ficheros: 119237

Nº de Ficheros Analizados: 22671

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(8-9-2010 18:31:48 (GMT))

EliPalevo v1.76 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(8-9-2010 18:34:29 (GMT))

EliPalevo v1.76 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 12677

Nº Total de Ficheros: 119237

Nº de Ficheros Analizados: 7747

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 08 Sep 2010, 21:39

nO SE APRECIA NINGUN PROCESO MALICIOSO.

Podria tratarse de un RootKit

Lance el Mcafee Rootkit detective y posteenos el informe resultante:

http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

saludos

ms, 8-9-2010

rvega · Mensaje por **rvega** » 08 Sep 2010, 22:36

ahi va, saludos

McAfee(R) Rootkit Detective 1.1 scan report

On 08-09-2010 at 16:28:24

OS-Version 5.1.2600

Service Pack 3.0

====================================

Object-Type: SSDT-hook

Object-Name: ZwClose

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteValueKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwDuplicateObject

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwEnumerateKey

Object-Path: \SystemRoot\System32\drivers\spaq.sys

Object-Type: SSDT-hook

Object-Name: ZwEnumerateValueKey

Object-Path: \SystemRoot\System32\drivers\spaq.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenThread

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwQueryKey

Object-Path: \SystemRoot\System32\drivers\spaq.sys

Object-Type: SSDT-hook

Object-Name: ZwQueryValueKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwRenameKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwRestoreKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_POWER

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_READ

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE

Object-Path:

Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg

Status: Unable to access registry key

Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg

Status: Hidden

Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg

Status: Hidden

Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg

Status: Hidden

Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg

Status: Unable to access registry key

Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg

Status: Hidden

Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg

Status: Hidden

Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg

Status: Hidden

Object-Type: IAT/EAT-hook

PID: 1464

Details: Export : Function : ntdll.dll!ZwOpenKey => 10000000 + 0x3df4

Object-Path: 10000000 + 0x3df4

Status: Hooked

Object-Type: IAT/EAT-hook

PID: 1464

Details: Export : Function : ntdll.dll!NtOpenKey => 10000000 + 0x3df4

Object-Path: 10000000 + 0x3df4

Status: Hooked

Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible

Object-Type: Process

Object-Name: wuauclt.exe

Pid: 4000

Object-Path: C:\WINDOWS\system32\wuauclt.exe

Status: Visible

Object-Type: Process

Object-Name: cidaemon.exe

Pid: 1428

Object-Path: C:\WINDOWS\system32\cidaemon.exe

Status: Visible

Object-Type: Process

Object-Name: LogMeIn.exe

Pid: 1676

Object-Path: C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 1212

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible

Object-Type: Process

Object-Name: winlogon.exe

Pid: 656

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible

Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 3820

Object-Path: C:\zonavirus\McafeeRootkitDetective\Rootkit_Detective.exe

Status: Visible

Object-Type: Process

Object-Name: lsass.exe

Pid: 720

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible

Object-Type: Process

Object-Name: explorer.exe

Pid: 1464

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible

Object-Type: File/Folder

Object-Name: catalog.wci

Pid: n/a

Object-Path: C:\System Volume Information\catalog.wci

Status: Hidden

Object-Type: Process

Object-Name: ctfmon.exe

Pid: 504

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible

Object-Type: Process

Object-Name: AvastSvc.exe

Pid: 1620

Object-Path: C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

Status: Visible

Object-Type: Process

Object-Name: cisvc.exe

Pid: 908

Object-Path: C:\WINDOWS\system32\cisvc.exe

Status: Visible

Object-Type: Process

Object-Name: alg.exe

Pid: 3420

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible

Object-Type: Process

Object-Name: jqs.exe

Pid: 1064

Object-Path: C:\Archivos de programa\Java\jre6\bin\jqs.exe

Status: Visible

Object-Type: Process

Object-Name: csrss.exe

Pid: 632

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible

Object-Type: Process

Object-Name: wscntfy.exe

Pid: 2896

Object-Path: C:\WINDOWS\system32\wscntfy.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 356

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: File/Folder

Object-Name: R0000000.mdb

Pid: n/a

Object-Path: C:\Transtec\RemunW\Datos\PLANTILL\R0000000.mdb

Status: Hidden

Object-Type: Process

Object-Name: svchost.exe

Pid: 1132

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: smss.exe

Pid: 576

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible

Object-Type: Process

Object-Name: LMIGuardian.exe

Pid: 1816

Object-Path: C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe

Status: Visible

Object-Type: Process

Object-Name: wmiapsrv.exe

Pid: 2964

Object-Path: C:\WINDOWS\system32\wbem\wmiapsrv.exe

Status: Visible

Object-Type: Process

Object-Name: SolidPdfService

Pid: 1848

Object-Path: C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

Status: Visible

Object-Type: File/Folder

Object-Name: Temporal.mdb

Pid: n/a

Object-Path: C:\Transtec\RemunW\Datos\PLANTILL\Temporal.mdb

Status: Hidden

Object-Type: Process

Object-Name: svchost.exe

Pid: 920

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: AvastUI.exe

Pid: 1820

Object-Path: C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe

Status: Visible

Object-Type: Process

Object-Name: LogMeInSystray.

Pid: 1324

Object-Path: C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe

Status: Visible

Object-Type: Process

Object-Name: LMIGuardian.exe

Pid: 1976

Object-Path: C:\Archivos de programa\LogMeIn\x86\LMIGuardian.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 984

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: svchost.exe

Pid: 1480

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: Process

Object-Name: searchindexer.e

Pid: 612

Object-Path: C:\WINDOWS\system32\SearchIndexer.exe

Status: Visible

Object-Type: File/Folder

Object-Name: Reee0000.mdb

Pid: n/a

Object-Path: C:\Transtec\RemunW\Datos\PLANTILL\Reee0000.mdb

Status: Hidden

Object-Type: Process

Object-Name: spoolsv.exe

Pid: 3312

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible

Object-Type: Process

Object-Name: services.exe

Pid: 708

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible

Object-Type: Process

Object-Name: ramaint.exe

Pid: 1112

Object-Path: C:\Archivos de programa\LogMeIn\x86\RaMaint.exe

Status: Visible

Object-Type: Process

Object-Name: nvsvc32.exe

Pid: 1856

Object-Path: C:\WINDOWS\system32\nvsvc32.exe

Status: Visible

Object-Type: File/Folder

Object-Name: ReeeAAAA.mdb

Pid: n/a

Object-Path: C:\Transtec\RemunW\Datos\PLANTILL\ReeeAAAA.mdb

Status: Hidden

Object-Type: Process

Object-Name: svchost.exe

Pid: 896

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible

Object-Type: File/Folder

Object-Name: NoDispon.bmp

Pid: n/a

Object-Path: C:\Transtec\RemunW\Datos\PLANTILL\NoDispon.bmp

Status: Hidden

Scan complete. Found hidden Processes and Files: 6 .

Total files scanned: 119893

Mensaje por **msc hotline sat** » 09 Sep 2010, 07:02

Pues si señor, aqui hay algo oculto:

[i]~~[b]~~Found hidden Processes and Files: 6 .[/b][/i]

veamos que es:

Object-Path: C:\Transtec\RemunW\Datos\PLANTILL\NoDispon.bmp

Status: Hidden

Object-Path: C:\Transtec\RemunW\Datos\PLANTILL\ReeeAAAA.mdb

Status: Hidden

Object-Path: C:\Transtec\RemunW\Datos\PLANTILL\Reee0000.mdb

Status: Hidden

Object-Path: C:\Transtec\RemunW\Datos\PLANTILL\Temporal.mdb

Status: Hidden

Object-Path: C:\Transtec\RemunW\Datos\PLANTILL\R0000000.mdb

Status: Hidden

Object-Path: C:\System Volume Information\catalog.wci

Status: Hidden

Es muy raro que estos ficheros con estas extensiones esten corriendo en procesos ocultos, pero ello no implica que sean malwares...

Miraré de informarme al respecto y comentaré el resultado

saludos

ms, 9-9-2010

Mensaje por **msc hotline sat** » 09 Sep 2010, 11:47

Pues no hay informacion al respecto...

Mira de crear otro usuario y dinos si arrancando con él tambien te pasa.

saludos

ms, 9-9-2010

rvega · Mensaje por **rvega** » 09 Sep 2010, 18:53

te comento los archivos que dicen transtec, son de programas de contabilidad y remuneraciones, el unico que no conozco es el ultimo, , tambien tengo un print del troyano que detecta el avast que crea siempre un .tmp,

[img]http://www.qv.cl/troyano.JPG[/img] y abajo donde salen los procesos, son siempre diferentes, saludos

Mensaje por **msc hotline sat** » 09 Sep 2010, 20:31

Esto es un intento de intrusión del SearchProtocolHost.exe que ha interceptado el AVAST

Siendo asi, nada que buscar, pues no ha llegado ni al registro ni a infectar el ordenador

Voy a ver si hay informacion de dicho fichero

Mensaje por **msc hotline sat** » 09 Sep 2010, 20:45

Pues dicen que lo normal es que sea del sistema : "El proceso y archivo SearchProtocolHost.exe es el Microsoft Windows Search Protocol Host, un proceso de Windows"

POsiblemente el bicho se introduce en la memoria de dicho proceso, sin que dicho fichero sea malicioso, sino que lo es el que indican al principio:

C:\DOCUME~1\Aladiro\CONFIG~1\Temp\ncrm.tmp

Si no tienes ahí o en el baul de cuarentena, envianoslo para analizar y te informaremos del resultado.

Sin dicha muestra y a la vista de los informes de nuestras utilidades, no tenemos informacion de nada que hacer...

Esperamos que nos la puedas enviar:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 9-9-2010

rvega · Mensaje por **rvega** » 09 Sep 2010, 22:26

hola, ya envié la muestra con la pass virus, lo que si queria comentarte con respecto a la imagen anterior es que ese troyano lo detecta con cada programo que intento abrir, cuando tome ese print, estaba ese proceso, pero ocurre con todos, incluso cuando estaba comprimiendo el archivo para enviarlo, tambien me aparecio pero en el proceso winrar.exe, me aparece en explorer.exe, msnim.exe, firefox.exe, etc,etc, te cuento que lo borro y aparece inmediatamente de nuevo, lo otro es que sigo sin podes entar a la pagina de zonavirus.com, me aparece un mesaje raro de error "405: el verbo http usado para obtener acceso a esta pagina no esta permitido", tanto en firefox como en ie8, saludos

Mensaje por **msc hotline sat** » 10 Sep 2010, 07:13

Pues cuando recibamos la muestra, la analizaremos y veremos de qué se trata e informaremos

saludos

ms, 10-9-2010

Mensaje por **msc hotline sat** » 10 Sep 2010, 12:38

Recibida la muestra, efectivamente, en el preanlisis lo detectan casi todos:

File name: ncrm.tmp

Submission date: 2010-09-10 10:32:37 (UTC)

Current status: queued (#9) queued analysing finished

Result: 40/ 43 (93.0%)

VT Community

not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.09.10.00 2010.09.10 Win-Trojan/Daonol.variant

AntiVir 8.2.4.50 2010.09.10 TR/PSW.Kates.FC.1

Antiy-AVL 2.0.3.7 2010.09.10 Trojan/Win32.Kates.gen

Authentium 5.2.0.5 2010.09.10 W32/Kates.E.gen!Eldorado

Avast 4.8.1351.0 2010.09.10 Win32:Kates-AV

Avast5 5.0.594.0 2010.09.10 Win32:Kates-AV

AVG 9.0.0.851 2010.09.10 PSW.Generic7.BZKQ

BitDefender 7.2 2010.09.10 Trojan.PWS.YPZ

CAT-QuickHeal 11.00 2010.09.10 TrojanPSW.Kates.fc

ClamAV 0.96.2.0-git 2010.09.10 Trojan.Kates-2602

Comodo 6029 2010.09.10 TrojWare.Win32.PSW.Kates.ABC

DrWeb 5.0.2.03300 2010.09.10 Trojan.AuxSpy.187

Emsisoft 5.0.0.37 2010.09.10 Trojan-PWS.Win32.Kates!IK

eSafe 7.0.17.0 2010.09.07 -

eTrust-Vet 36.1.7846 2010.09.10 Win32/Daonol.AD

F-Prot 4.6.1.107 2010.09.01 W32/Kates.E.gen!Eldorado

F-Secure 9.0.15370.0 2010.09.10 Trojan.PWS.YPZ

Fortinet 4.1.143.0 2010.09.09 -

GData 21 2010.09.10 Trojan.PWS.YPZ

Ikarus T3.1.1.88.0 2010.09.10 Trojan-PWS.Win32.Kates

Jiangmin 13.0.900 2010.09.10 Trojan/PSW.Kates.nj

K7AntiVirus 9.63.2488 2010.09.10 Riskware

Kaspersky 7.0.0.125 2010.09.10 Trojan-PSW.Win32.Kates.fc

McAfee 5.400.0.1158 2010.09.10 Lando.gen

McAfee-GW-Edition 2010.1B 2010.09.10 Lando.gen

Microsoft 1.6103 2010.09.10 Trojan:Win32/Daonol.H

NOD32 5439 2010.09.10 Win32/Daonol.CN

Norman 6.06.06 2010.09.09 W32/Kates.JF

nProtect 2010-09-10.01 2010.09.10 Trojan-PWS/W32.Daonol.24064.X

Panda 10.0.2.7 2010.09.09 Trj/KillAV.FJ

PCTools 7.0.3.5 2010.09.10 -

Prevx 3.0 2010.09.10 High Risk Cloaked Malware

Rising 22.64.04.03 2010.09.10 Trojan.Win32.Generic.520260A6

Sophos 4.57.0 2010.09.10 Mal/Kates-A

Sunbelt 6857 2010.09.10 Trojan.Win32.Generic!BT

SUPERAntiSpyware 4.40.0.1006 2010.09.10 Trojan.Agent/Gen-NumTemp

Symantec 20101.1.1.7 2010.09.10 Suspicious.Pythia

TheHacker 6.7.0.0.012 2010.09.09 Trojan/PSW.Kates.fc

TrendMicro 9.120.0.1004 2010.09.10 TSPY_KATES.SMF

TrendMicro-HouseCall 9.120.0.1004 2010.09.10 TSPY_KATES.SMF

VBA32 3.12.14.0 2010.09.08 Trojan-PSW.Win32.Kates.fc

ViRobot 2010.9.8.4031 2010.09.10 Trojan.Win32.PSWKates.24064.S

VirusBuster 12.64.26.0 2010.09.09 Trojan.PWS.Kates.CXG

Additional informationShow all

MD5 : aa22474e3aed57e7c12932fe6b207236

SHA1 : 0289eb7cdfc77e006a333c143e1924029796b967

File size : 24064 bytes

Pasaremos a monitorizarlo e implementaremos su control y eliminacion en proxima version del ELISTARA, de lo cual informaremos

saludos

ms, 10-9-2010

Mensaje por **msc hotline sat** » 10 Sep 2010, 14:35

Al ir a monitorizar dicho fichero, resulta que no es operativo por NO SER UNA APLICACION WIN32 VALIDA

Posiblemente esté corrupto y no podemos ver lo que hace, claves de registro que modifica, ficheros que crea, etc.

Este puede eliminarlo, pero si quiere disponer de utilidad de eliminacion total y restauracion de claves, debe enviarnos el fichero operativo.

Posiblemente sin el AVAST residente lo habría logrado, pero se habría infectado, claro !

Lo que puede hacer es restaurar el sistema a un punto anterior al problema, ya que dice que es muy reciente, y asi restaurará las claves y demas, devolviendole la normalidad del proceso.

saludos

ms, 10-9-2010

rvega · Mensaje por **rvega** » 14 Sep 2010, 22:44

Lamentablemente no puedo volver a una version anterior, ya habia tratado de hacerlo antes, lo unico que me queda es ver si puedo respaldar de alguan manera los programas esos que no tengo los instaladores y formatear, gracias de todas maneras, saludos

Mensaje por **msc hotline sat** » 15 Sep 2010, 05:51

Antes de formatear, si quiere, puede probar el Cureit, a ver si arregla algo mas, ya que el AVAST lo ha dejado a medias...

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Descarguelo de este link, lo desempaqueta y luego arranca en MODO SEGURO y lo ejecuta, tras ello reinicie normalmente y cuentenos el resultado, gracias

Yo no tiraría aun la toalla ... :)

Cuentenos el resultado, gracias

saludos

ms, 15-9-2010

Cargando configuracion personal....... ahi queda

Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda

Re: Cargando configuracion personal....... ahi queda