Todo comenzó hace dos días con algo que parecía problema de hardware o de controlador de sonido.
cada vez que reiniciaba aparecía el siguiente mensaje:
"Generic Host Process for Win32 Services ha encontrado un probelma y tuvo que cerrar". (este mensaje ya no sale desde anoche)
Coincidió esto con un cambio en el proveedor de internet. Vino el técnico y puso el nuevo modem de banda ancha (pero similar al anterior de la otra empresa. Antes Arnet. Ahora de telecentro, en buenos aires).
Y ese mismo día, con la instalación de un softphone para telefonía IP.
Bien.
Además de esto, al reiniciar la PC no tenía solido para reproducir, sí los comunes de windows (XP SP 2)
Sale aún hoy el mensaje: "El Reproductor de Windows Media no puede reproducir el archivo debido a un problema con el dispositivo de sonido. Puede que no haya ningún dispositivo de sonido instalado en su PC, que lo utilice otro programa o que no funcione correctamente".
Entonces debo ir Panel de Control, dispositivos de audio y reinstalar el controlador, de lo contrario no puedo escuchar música.
Una vez hecho esto funciona perfectamente, escucha música y están los controladores, hasta que deba reiniciar, cuando debo hacer siempre este paso.
La novedad es que comencé a recibir alertas de archivos infectados de Avira, de Ad-Aware y de Malwarebytes que tengo en funcionamiento. Básicamente
TR/Dropper.Gen Trojan
TR/Ircbrute.A.643 Trojan
TR/VBKrypt.gmc Trojan
worm.Palevo
Backdoor.Bot
Win32.Worm.Kolab
Gracias por el asesoramiento
María
Desde hace 24 horas estoy haciendo continuos escaneos, en modo a prueba de fallos, luego limpio registro con RegSeeker, limpio con CCleaner, reseteo nuevamente en modo a prueba de fallos. y siguen apareciendo nuevamente infectados, y con el sonido sin andar, hasta que reinstalo los controladores de Realteck.
Lista de infecciones encontradas (de la última a las más antiguas ayer a la tarde)
Con MALWAREBYTES ya van dos veces seguidas que sigue apareciendo:
Worm.Autorun.B
scaneo anterior a este (también en modo a prueba de fallos)
C:\RECYCLER\S-1-5-21-1894681473-6060779303-123664317-4687\syscr.exe (Worm.Autorun.B) -> No action taken.
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)
Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> No action taken.
Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-4716303359-0881185409-108170218-3445\syscr.exe,explorer.exe,C:\Documents and Settings\María F Barro Gil\Datos de programa\ltzqai.exe,Explorer.exen) Good: (Explorer.exe) -> No action taken.
Antes de éste, anoche:
Archivos Infectados:
C:\ms.exe (Backdoor.Bot) -> No action taken.
C:\RECYCLER\S-1-5-21-4716303359-0881185409-108170218-3445\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\María F Barro Gil\Datos de programa\ltzqai.exe (Worm.Palevo) -> No action taken.
C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe (Worm.Palevo) -> No action taken.
C:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\lsass.exe (Trojan.PWS) -> No action taken.
otro:
Archivos Infectados:
C:\Archivos de programa\Archivos comunes\System\services.exe (Trojan.Scar.Gen) -> Delete on reboot.
C:\WINDOWS\services.exe (Trojan.Scar.Gen) -> Quarantined and deleted successfully.
C:\media.exe (Trojan.Scar.Gen) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0296559389-9304062711-088445844-9431\syscr.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\n2m8.exe (Trojan.Scar.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\nigzss.txt (Malware.Trace) -> Quarantined and deleted successfully.
El primer escaneo:
mALWAREBYTES: Trojan.scar.Gen
Malware.Trace
Procesos en Memoria Infectados:
C:\Archivos de programa\Archivos comunes\System\services.exe (Trojan.Scar.Gen) -> Failed to unload process.
Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows update (Trojan.Scar.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows data serivce (Malware.Trace) -> Quarantined and deleted successfully.
C:\Archivos de programa\Archivos comunes\System\services.exe (Trojan.Scar.Gen) -> Delete on reboot.
C:\WINDOWS\system32\n2m8.exe (Trojan.Scar.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\nigzss.txt (Malware.Trace) -> Quarantined and deleted successfully.
Archivos Infectados:
C:\RECYCLER\S-1-5-21-2150085065-7599640553-708853365-2992\syscr.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-5574789956-9915062644-820771864-3415\syscr.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-5888196971-2965407032-247446568-6812\syscr.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\WINDOWS\lsass.exe (Trojan.PWS) -> Quarantined and deleted successfully.
C:\WINDOWS\nigzss.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\dn.exe (Malware.Trace) -> Delete on reboot.
C:\WINDOWS\system32\dn.exe (Malware.Trace) -> Quarantined and deleted successfully.
___________________
Con AVIRA:
Objeto "PC Sweeper" encontrado en fichero de sistema.
Objeto "Trojan-Downloader.BAT.Ftp.ab Trojan-Downloader" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Backdoor (IRCBot) Trojans Spyware/Adware" encontrado en fichero de sistema.
Objeto "Orifice2K.plugin Trojan" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" referida a un objeto inválido "C:\WINDOWS\system32\lnod32apiA.dll". Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" referida a un objeto inválido "C:\WINDOWS\system32\lnod32apiW.dll". Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" referida a un objeto inválido "C:\WINDOWS\system32\lnod32umc.dll". Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" referida a un objeto inválido "C:\WINDOWS\system32\lnod32upd.dll". Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" referida a un objeto inválido "C:\WINDOWS\system32\OnlineScanner.ocx". Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" referida a un objeto inválido "C:\WINDOWS\system32\OnlineScannerDLLA.dll". Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" referida a un objeto inválido "C:\WINDOWS\system32\OnlineScannerDLLW.dll". Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" referida a un objeto inválido "C:\WINDOWS\system32\OnlineScannerLang.dll". Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" referida a un objeto inválido "C:\WINDOWS\system32\OnlineScannerUninstaller.exe". Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" referida a un objeto inválido "{AC76BA86-7AD7-0000-2550-7A8C40000932}". Acción tomada: Ninguna acción tomada.
AVIRA: TR/Dropper.Gen
AD AWARE:
Quarantined items:
Description: c:\windows\test.exe Family Name: Win32.Worm.Kolab Clean status: Success Item ID: 4511988 Family ID: 1715
Description: c:\windows\dn.exe Family Name: Win32.Worm.Kolab Clean status: Success Item ID: 4361234 Family ID: 1715
Description: C:\WINDOWS\system32\dn.exe Family Name: Win32.Worm.Kolab Clean status: Success Item ID: 4511988 Family ID: 1715
Description: HKLM:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run:Windows Data Serivce Family Name: Win32.Worm.Kolab Clean status: Success Item ID: 4511988 Family ID: 1715
Description: HKLM:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run:test Family Name: Win32.Worm.Kolab Clean status: Success Item ID: 4511988 Family ID: 1715
Description: C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\09MZ85AN\ms[1].exe Family Name: Win32.Worm.Kolab Clean status: Success Item ID: 4361234 Family ID: 1715
Scan and cleaning complete: Finished correctly after 401 seconds
______________´
tERCER ANÁLISIS
Begin scan in 'C:\' <Disco local>
C:\ms.exe
[DETECTION] Is the TR/Ircbrute.A.643 Trojan
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
Beginning disinfection:
C:\ms.exe
[DETECTION] Is the TR/Ircbrute.A.643 Trojan
[NOTE] The file was moved to '4cd0056f.qua'!
___________
sEGUNDA VEZ
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\WINDOWS\system32\jagaqi.dll
[DETECTION] Is the TR/Dropper.Gen Trojan
pRIMER ANÁLISIS
Begin scan in 'C:\' <Disco local>
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\83F7XE1O\ci[1].exe
[DETECTION] Is the TR/Dropper.Gen Trojan
C:\Documents and Settings\Administrador\Configuración local\Temp\365676.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\49A3CT6N\ms[1].exe
[DETECTION] Is the TR/Ircbrute.A.643 Trojan
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\KX2BGPMR\pp[1].exe
[DETECTION] Is the TR/VBKrypt.gmc Trojan
C:\WINDOWS\dn.exe
[DETECTION] Is the TR/Ircbrute.A.643 Trojan
C:\WINDOWS\test.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
C:\WINDOWS\system32\07.scr
[DETECTION] Is the TR/VBKrypt.gmc Trojan
C:\WINDOWS\system32\msvmiode.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
C:\WINDOWS\system32\Zsprm.exe
[DETECTION] Is the TR/VBKrypt.gmc Trojan
troyanos, gusanos, spywares y al reiniciar tengo que reinstalar controlador de sonido desde el panel de control.
-
canelatres
- Mensajes: 1
- Registrado: 29 Sep 2010, 01:28
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: troyanos, gusanos, spywares y al reiniciar tengo que reinstalar controlador de sonido desde el panel de control.
Pues mire si aun tiene alguno de estos ficheros y envienoslos para analizar:
C:\ms.exe (Backdoor.Bot) -> No action taken.
C:\RECYCLER\S-1-5-21-4716303359-0881185409-108170218-3445\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\María F Barro Gil\Datos de programa\ltzqai.exe (Worm.Palevo) -> No action taken.
C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe (Worm.Palevo) -> No action taken.
C:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\lsass.exe (Trojan.PWS) -> No action taken.
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
Y para ello, mejor pruebe el ELIMOVER, por ejemplo para el de C:\RECYCLER\S-1-5-21-4716303359-0881185409-108170218-3445\syscr.exe
sino le será dificil acceder a él.
ELIMOVER
http://www.zonavirus.com/descargas/elimover.asp
y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se
trata de un malware
En cualquier caso, tras ello, pruebe tambien el ELISTARA:
Tras analizar lo indicado, informaremos del resultado.
saludos
ms, 29-9-2010
NOTA:
Y como que tuvo un PALEVO, lance el ELIPALEVO sobre ordenador y pendrives:
[b] ELIPALEVO.EXE: [/b]
http://www.zonavirus.com/descargas/elipalevo.asp
y vacune con el ELIPEN !!! : (el palevo se transmite por dicho medio)
[img]http://www.satinfo.es/blog/wp-content/uploads/2010/03/moltbetot.gif [/img]
vacune todas sus unidades de disco y pendrive con el ELIPEN:
[b]ELIPEN.EXE[/b]
http://www.zonavirus.com/descargas/elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso . ms.
C:\ms.exe (Backdoor.Bot) -> No action taken.
C:\RECYCLER\S-1-5-21-4716303359-0881185409-108170218-3445\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\María F Barro Gil\Datos de programa\ltzqai.exe (Worm.Palevo) -> No action taken.
C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe (Worm.Palevo) -> No action taken.
C:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\lsass.exe (Trojan.PWS) -> No action taken.
Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
Y para ello, mejor pruebe el ELIMOVER, por ejemplo para el de C:\RECYCLER\S-1-5-21-4716303359-0881185409-108170218-3445\syscr.exe
sino le será dificil acceder a él.
ELIMOVER
y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se
trata de un malware
En cualquier caso, tras ello, pruebe tambien el ELISTARA:
[quote="para DESCARGAR el ELISTARA, msc"]http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado
del proceso[/quote]
Tras analizar lo indicado, informaremos del resultado.
saludos
ms, 29-9-2010
NOTA:
Y como que tuvo un PALEVO, lance el ELIPALEVO sobre ordenador y pendrives:
y vacune con el ELIPEN !!! : (el palevo se transmite por dicho medio)
[img]vacune todas sus unidades de disco y pendrive con el ELIPEN:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso . ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online