Problema con posible troyano (SOLUCIONADO)

[jofri]

Hola, tengo un problema ya varios días con mi ordenador.

El martes estaba viendo un partido de fútbol por una web d internet y de repente empezaron a salir ventanas de aviso de virus a cascoporro. Me salieron asi como 7 u 8. El antivirus q tengo es el avira. Los virus q me ha detectado y tiene en cuarentena son

TR/crypt.ulpm.gen

TR/dldr.fakeav.bj

TR/crypt.zpack.gen

TR/dldr.piker.coz

Y algún otro q creo haber borrado.

Cuando me pasó eso pasé el antivirus y me detectó algunos, pero no los podía eliminar.

El antivirus me pidió reiniciar, lo hice, después no arrancaba, siempre se reiniciaba llegado un punto.

Tuve q reiniciar cogiendo la opción de usar la última configuración q funcionó, pero cuando entro no me deja abrir explorer y acada vez q paso el antivirus tb me detecta cosas. Tb el spybot search and detroy no me puede eliminar un win32.fraudload (no sé si tendrá algo q ver) además continuamente me aparece un mensaje,q no puedo cerrar, de Microsoft Security essential alert que dice:

Unable to remove threat

Click scan online button to remove this treath

Detected items : unknown win32/Trojan (alert level: severe; recommendation: remove; status: suspended)

Esta ventana no me soluciona el problema y me dice q haga el scan online, le he dado y algunos antivirus me detectan un trojan horse, pero me da rollo instalarlo pq no me fio de nada ya.

Uso el jdownloader y últimamente he bajado algún juego, como el monkey island, q me daba aviso de virus.



Alguien me puede ayudar?



gracias

[lucl]

De momento ve descargandote este programa y ejecutalo en el pc. Te dejara un log en C llamado infosat.txt cuyo resultado debes pegarnos aquí como respuesta al tema y segun de el resultado continuaremos. Saludos.







http://www.zonavirus.com/descargas/elistara.asp

[jofri]

no hay forma de bajarlo sin pagar?

[msc hotline sat]

Las utilidades que indicamos en este foro tienen Copyrigth, y solo son para uso de los que tienen contratados los servicios de SATINFO, pero en este foro se dejan probar gratuitamente, en concepto de evaluación, si bien para mantenimiento del servidor de descargas se requiere el envio de 1 SMS.



De otra forma se requiere licencia para descargarlo desde http://www.satinfo.es , o si se usara habitualmente por dedicarse a reparar, tener el pack de utilidades: http://mcaf.ee/452e6 , pero si es solo para esta vez, haz lo del SMS, que asi tendrás la última versión de ayer, y falta te hace por lo que vemos !



De todas formas, con tu antivirus, mira si arrancando EN MODO SEGURO y lanzando un escaneo bajo demanda, puede eliminar los que te detecta, aunque no sea todo.



saludos



ms, 24-9-2010

RSPVAL

[jofri]

(24-9-2010 16:19:02 (GMT))

EliStartPage v21.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[jofri]

lo he vuelto a pasar una vez más y me ha salido otra cosa:



(24-9-2010 16:19:02 (GMT))

EliStartPage v21.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-9-2010 16:35:24 (GMT))

EliStartPage v21.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-9-2010 16:42:35 (GMT))

EliStartPage v21.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Juanfran\Mis documentos\Audio\driver\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\Juanfran\Mis documentos\programas\Drivers\REALTEKALC883_AUDIO_V51005397.ZIP -> Audio/driver/WDM/Alcmtr.exe -> Detectado SpyRealtek



Nº Total de Directorios: 9582

Nº Total de Ficheros: 98126

Nº de Ficheros Analizados: 22000

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues reinicia y dinos si persiste la anomalía, y sino es que se tratará de algun malware nuevo que hemos de investigar para aplicar su deteccion y eliminacion en proximas versiones de nuestras utilidades.



Si persiste el problema, posteanos el contenido de c:\sproclog.txt que creará el SPROCES:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 24-9-2010

[jofri]

pues parece q ha desaparecido



he reiniciado y ya no me aparece la ventana de Microsoft Security essential alert y ya me deja navegar

aún asi he pasado el antivirus y no me detecta virus, pero si advertencias







Avira AntiVir Personal

Fecha de creación del fichero de informe: viernes, 24 de septiembre de 2010 19:32



Analizando cepas de virus de 2872544.



Titular de la licencia : Avira AntiVir Personal - FREE Antivirus

Número de serie : 0000149996-ADJIE-0000001

Plataforma : Windows XP

Versión de Windows : (Service Pack 3) [5.1.2600]

Modo de arranque : Arranque normal

Nombre de usuario : SYSTEM

Nombre del equipo : J-EE6375850FFD4



Información de versión:

BUILD.DAT : 9.0.0.17 21585 Bytes 09/06/2010 11:57:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:41

AVSCAN.DLL : 9.0.3.0 47361 Bytes 03/03/2009 13:56:12

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:04

LUKERES.DLL : 9.0.2.0 13057 Bytes 03/03/2009 13:56:40

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 14:51:09

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 14:52:01

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 14:52:23

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:50:50

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 19:45:14

VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 21:13:52

VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 19:37:58

VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 20:22:28

VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 20:22:28

VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 20:22:29

VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 20:22:29

VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 20:22:29

VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 20:03:35

VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 10:10:03

VBASE015.VDF : 7.10.11.231 129024 Bytes 21/09/2010 12:11:32

VBASE016.VDF : 7.10.12.4 126464 Bytes 23/09/2010 17:54:45

VBASE017.VDF : 7.10.12.5 2048 Bytes 23/09/2010 17:54:45

VBASE018.VDF : 7.10.12.6 2048 Bytes 23/09/2010 17:54:45

VBASE019.VDF : 7.10.12.7 2048 Bytes 23/09/2010 17:54:45

VBASE020.VDF : 7.10.12.8 2048 Bytes 23/09/2010 17:54:45

VBASE021.VDF : 7.10.12.9 2048 Bytes 23/09/2010 17:54:45

VBASE022.VDF : 7.10.12.10 2048 Bytes 23/09/2010 17:54:45

VBASE023.VDF : 7.10.12.11 2048 Bytes 23/09/2010 17:54:46

VBASE024.VDF : 7.10.12.12 2048 Bytes 23/09/2010 17:54:46

VBASE025.VDF : 7.10.12.13 2048 Bytes 23/09/2010 17:54:46

VBASE026.VDF : 7.10.12.14 2048 Bytes 23/09/2010 17:54:46

VBASE027.VDF : 7.10.12.15 2048 Bytes 23/09/2010 17:54:46

VBASE028.VDF : 7.10.12.16 2048 Bytes 23/09/2010 17:54:46

VBASE029.VDF : 7.10.12.17 2048 Bytes 23/09/2010 17:54:46

VBASE030.VDF : 7.10.12.18 2048 Bytes 23/09/2010 17:54:46

VBASE031.VDF : 7.10.12.23 37376 Bytes 23/09/2010 17:54:47

Versión del motor : 8.2.4.60

AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 19:40:56

AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 18/09/2010 01:37:07

AESCN.DLL : 8.1.6.1 127347 Bytes 18/05/2010 19:45:28

AESBX.DLL : 8.1.3.1 254324 Bytes 18/05/2010 19:45:30

AERDL.DLL : 8.1.9.2 635252 Bytes 22/09/2010 15:01:03

AEPACK.DLL : 8.2.3.7 471413 Bytes 18/09/2010 01:37:03

AEOFFICE.DLL : 8.1.1.8 201081 Bytes 25/07/2010 19:38:02

AEHEUR.DLL : 8.1.2.26 2916727 Bytes 18/09/2010 01:37:02

AEHELP.DLL : 8.1.13.3 242038 Bytes 26/08/2010 17:02:25

AEGEN.DLL : 8.1.3.22 401780 Bytes 18/09/2010 01:36:58

AEEMU.DLL : 8.1.2.0 393588 Bytes 18/05/2010 19:45:23

AECORE.DLL : 8.1.16.2 192887 Bytes 20/07/2010 20:09:15

AEBB.DLL : 8.1.1.0 53618 Bytes 18/05/2010 19:45:22

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:26

AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:28

AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 12:29:54

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:39

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:10

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:33

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:52

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:56

RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09/02/2009 10:45:45

RCTEXT.DLL : 9.0.73.0 87809 Bytes 02/11/2009 15:54:29



Configuración para el análisis actual:

Nombre de tarea...........................: Analizar el Sistema Completo

Fichero de configuración..................: c:\archivos de programa\avira\antivir desktop\sysscan.avp

Registro..................................: bajo

Acción principal..........................: interactivo

Acción secundaria.........................: omitir

Analizando sectores de arranque maestros..: activado

Analizando sectores de arranque...........: activado

Sectores de arranque......................: C:, D:,

Analizando programas activos..............: activado

Analizando registro.......................: activado

Búsqueda de rootkits......................: activado

Compr. integridad ficheros del sistema....: desactivado

Modo de análisis de ficheros..............: Todos los ficheros

Analizando archivos.......................: activado

Limitar nivel de recursividad.............: 20

Extensiones inteligentes de archivo.......: activado

Heurística de macrovirus..................: activado

Heurística de ficheros....................: medio



Comienzo del análisis: viernes, 24 de septiembre de 2010 19:32



Comienza el análisis de existencia de objetos ocultos.

Se analizaron '80953' objetos, se encontraron '0' objetos ocultos.



Comienza el análisis de los procesos iniciados:

Analizando proceso 'SpybotSD.exe' - se analizaron '1' módulos

Analizando proceso 'avscan.exe' - se analizaron '1' módulos

Analizando proceso 'iexplore.exe' - se analizaron '1' módulos

Analizando proceso 'iexplore.exe' - se analizaron '1' módulos

Analizando proceso 'hpswp_clipbook.exe' - se analizaron '1' módulos

Analizando proceso 'hpqgpc01.exe' - se analizaron '1' módulos

Analizando proceso 'hpqbam08.exe' - se analizaron '1' módulos

Analizando proceso 'hpqste08.exe' - se analizaron '1' módulos

Analizando proceso 'NclRSSrv.exe' - se analizaron '1' módulos

Analizando proceso 'NclUSBSrv.exe' - se analizaron '1' módulos

Analizando proceso 'alg.exe' - se analizaron '1' módulos

Analizando proceso 'ServiceLayer.exe' - se analizaron '1' módulos

Analizando proceso 'nokiaaserver.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'PnkBstrA.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'NBService.exe' - se analizaron '1' módulos

Analizando proceso 'jqs.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'hpqtra08.exe' - se analizaron '1' módulos

Analizando proceso 'FTRTSVC.exe' - se analizaron '1' módulos

Analizando proceso 'avguard.exe' - se analizaron '1' módulos

Analizando proceso 'CCC.exe' - se analizaron '1' módulos

Analizando proceso 'DTLite.exe' - se analizaron '1' módulos

Analizando proceso 'TeaTimer.exe' - se analizaron '1' módulos

Analizando proceso 'NokiaOviSuite.exe' - se analizaron '1' módulos

Analizando proceso 'ctfmon.exe' - se analizaron '1' módulos

Analizando proceso 'CardDetector.exe' - se analizaron '1' módulos

Analizando proceso 'AdobeARM.exe' - se analizaron '1' módulos

Analizando proceso 'NokiaMServer.exe' - se analizaron '1' módulos

Analizando proceso 'MOM.exe' - se analizaron '1' módulos

Analizando proceso 'hpwuSchd2.exe' - se analizaron '1' módulos

Analizando proceso 'RTHDCPL.exe' - se analizaron '1' módulos

Analizando proceso 'avgnt.exe' - se analizaron '1' módulos

Analizando proceso 'explorer.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'sched.exe' - se analizaron '1' módulos

Analizando proceso 'spoolsv.exe' - se analizaron '1' módulos

Analizando proceso 'ati2evxx.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'svchost.exe' - se analizaron '1' módulos

Analizando proceso 'ati2evxx.exe' - se analizaron '1' módulos

Analizando proceso 'lsass.exe' - se analizaron '1' módulos

Analizando proceso 'services.exe' - se analizaron '1' módulos

Analizando proceso 'winlogon.exe' - se analizaron '1' módulos

Analizando proceso 'csrss.exe' - se analizaron '1' módulos

Analizando proceso 'smss.exe' - se analizaron '1' módulos

Se analizaron '52' procesos con '52' módulos



Comienza el análisis de los sectores de arranque maestros:

Sector de arranque maestro HD0

[INFORMACIÓN] No se encontraron virus.

Sector de arranque maestro HD1

[INFORMACIÓN] No se encontraron virus.



Comienza el análisis de los sectores de arranque:

Sector de arranque 'C:\'

[INFORMACIÓN] No se encontraron virus.

Sector de arranque 'D:\'

[INFORMACIÓN] No se encontraron virus.



Se inicia el análisis de las referencias a ficheros ejecutables (registro):

Se analizó el registro ( '61' ficheros ).





Comienza el análisis de los ficheros seleccionados:



Comenzando el análisis en 'C:\'

C:\pagefile.sys

[ADVERTENCIA] No se pudo abrir el fichero.

[NOTA] Este fichero es un fichero del sistema Windows.

[NOTA] Es correcto que este fichero no se pueda abrir para el análisis.

C:\WINDOWS\system32\drivers\sptd.sys

[ADVERTENCIA] No se pudo abrir el fichero.

Comenzando el análisis en 'D:\' <disco 160>





Fin del análisis: viernes, 24 de septiembre de 2010 20:32

Tiempo requerido: 59:41 Minutos



El análisis se ejecutó por completo.



9727 Se analizaron las carpetas

418886 Ficheros analizados

0 Virus o programas no deseados detectados

0 Ficheros clasificados como sospechosos

0 Ficheros eliminados

0 Virus o programas no deseados reparados

0 Los ficheros se movieron a cuarentena

0 Se cambió el nombre de los ficheros

2 No se pudieron analizar los ficheros

418884 Ficheros no concernidos

3241 Se analizaron los archivos

2 Advertencias

1 Notas

80953 Los objetos se analizaron con el análisis de rootkits

0 Se detectaron objetos ocultos



supongo q ya no me debo preocupar verdad?



gracias por la ayuda

[jofri]

desde q me detectó el virus elordenador, el sonido no me va, como si se hubiera desconfigurado, tiene algo q ver verdad?

[msc hotline sat]

Las advertencias que dice no son víricas:



C:\pagefile.sys

[ADVERTENCIA] No se pudo abrir el fichero.

[NOTA] Este fichero es un fichero del sistema Windows.

[NOTA] Es correcto que este fichero no se pueda abrir para el análisis.

C:\WINDOWS\system32\drivers\sptd.sys

[ADVERTENCIA] No se pudo abrir el fichero.



y efectivamente, el FAKE ALERT "Microsoft Security essential alert " fué eliminado por el ELISTARA



El que no funcione el audio puede ser debido a que el malware eliminó alguna DLL al respecto, proceda a reinstalar los drivers de sonido y espero que le vuelva a funcionar.



Y con lo indicado damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 25-9-2010