TROYANO CAPRICHOSO (SOLUCIONADO)

[Renata]

Buenos días, el problema que ataca mi pc consiste en una viso de virus residente que aparece en el computador, y que se denomina como TROYANO SHeur3.BCFP y que se encuentra en c/Windows/system32/dn.exe , además la continua suspensión del servicio de Internet. Estoy navegando y de pronto me quedo sin línea. Debo reiniciar para lograr entrar de nuevo.

[b]

Les agradezco me ayuden una vez más para solucionar este molesto problema, ustedes siempre han sido efectivos y acertados en sus sugerencias.



Al pasar el Elistara, detectó 2 ficheros infectados a pesar de que los eliminó continúan saliendo el aviso en el pc.

Me pidió enviar las muestras y ya lo hice esta mañana. Dejo el Info. ¡Gracias![/b]







(1-10-2010 01:25:51 (GMT))

EliStartPage v21.72 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(1-10-2010 01:54:10 (GMT))

EliStartPage v21.72 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\PHPNukeES\TBPHP1.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\PHPNukeES\TBPHPN.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 10900

Nº Total de Ficheros: 95652

Nº de Ficheros Analizados: 34117

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(1-10-2010 02:08:23 (GMT))

EliStartPage v21.72 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.72

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(1-10-2010 02:16:00 (GMT))

EliStartPage v21.72 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3368

Nº Total de Ficheros: 27861

Nº de Ficheros Analizados: 8065

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Recibido fichero sospechoso, resulta ser un SpamTool Tedroo que pasamos a controlar a partir del ELISTARA de hoy 21.74



A partir de las 19 horas, descarguelo y tras probarlo, posteenos el resultado, gracias



saludos



ms, 4-10-2010

RCOLBUCA

[Renata]

Mucha gracias por su atención.

Estoy aterrada aunque el Elistara reconoció 1 virus, acá me sa salio un aviso que detecta más de 10 infecciones en mi pc.



Dejo el info después de pasar el Elistara.



Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "12CFG214-K641-12SF-N85P"="C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe"

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-10-2010 04:16:59 (GMT))

EliStartPage v21.77 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\MSVMIODE.EXE.MUESTRA ELISTARTPAGE V21.72 --> Eliminado, Spambot.Tedroo



Nº Total de Directorios: 11323

Nº Total de Ficheros: 94246

Nº de Ficheros Analizados: 34485

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1







¡Muchas gracias!

[msc hotline sat]

Pues si bien eliminamos uno, parace que ya ha ingresado otro:



Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.77



envienoslo como ya sabe :)



saludos



ms, 8-10-2010

[Renata]

[quote="msc hotline sat"]Pues si bien eliminamos uno, parace que ya ha ingresado otro:



Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.77



envienoslo como ya sabe :)



saludos



ms, 8-10-2010[/quote]



[size=150]Listo la muestra ha sido enviada.



Quedo a la espera de sus recomendaciones. Siguen apareciendo los avisos de Virus...



¡Gracias![/size]

[msc hotline sat]

Pues en unas 4 horas, cuando entremos a trabajar en SATINFO, nos darán las muestras de este fin de semana largo y las procesaremos.



En cuanto se haya analizado la suya, informaremos.



saludos



ms, 13-10-2010

[msc hotline sat]

Efectivamente, los ficheros solicitados son maliciosos, y gracias al ELISTARA ya estan aparcados en C:\muestras y tras reiniciar ya no incordian:





File name: MSVMIODE.EXE.Muestra EliStartPage v21.77

Submission date: 2010-10-13 15:24:12 (UTC)

Current status: queued queued analysing finished





Result: 32/ 43 (74.4%)

VT Community



malware

Safety score: 0.0%

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.10.13.01 2010.10.13 -

AntiVir 7.10.12.207 2010.10.13 TR/Dropper.Gen

Antiy-AVL 2.0.3.7 2010.10.13 -

Authentium 5.2.0.5 2010.10.13 W32/Swizzor-based!Maximus

Avast 4.8.1351.0 2010.10.13 Win32:Adware-gen

Avast5 5.0.594.0 2010.10.13 Win32:Adware-gen

AVG 9.0.0.851 2010.10.13 SpamTool.GOC

BitDefender 7.2 2010.10.13 Trojan.Swizzor.16638

CAT-QuickHeal 11.00 2010.10.13 Trojan.VBInject.gen

ClamAV 0.96.2.0-git 2010.10.13 -

Comodo 6376 2010.10.13 -

DrWeb 5.0.2.03300 2010.10.13 BackDoor.IRC.Bot.166

Emsisoft 5.0.0.50 2010.10.13 Virus.Win32.Vitro!IK

eSafe 7.0.17.0 2010.10.12 -

eTrust-Vet 36.1.7908 2010.10.13 -

F-Prot 4.6.2.117 2010.10.12 W32/Swizzor-based!Maximus

F-Secure 9.0.15370.0 2010.10.13 Trojan.Swizzor.16638

Fortinet 4.2.249.0 2010.10.13 W32/VB.SL!tr

GData 21 2010.10.13 Trojan.Swizzor.16638

Ikarus T3.1.1.90.0 2010.10.13 Virus.Win32.Vitro

Jiangmin 13.0.900 2010.10.13 -

K7AntiVirus 9.65.2733 2010.10.12 Trojan

Kaspersky 7.0.0.125 2010.10.13 Email-Worm.Win32.Joleee.fgs

McAfee 5.400.0.1158 2010.10.13 Artemis!D511057B0265

McAfee-GW-Edition 2010.1C 2010.10.13 Heuristic.BehavesLike.Win32.Downloader.J

Microsoft 1.6201 2010.10.13 Spammer:Win32/Tedroo.A

NOD32 5528 2010.10.13 Win32/SpamTool.Tedroo.AN

Norman 6.06.07 2010.10.12 -

nProtect 2010-10-13.01 2010.10.13 Trojan/W32.Swizzor.200704.J

Panda 10.0.2.7 2010.10.13 Trj/Agent.DPE

PCTools 7.0.3.5 2010.10.13 Adware.Lop!rem

Prevx 3.0 2010.10.13 Low Risk Adware

Rising 22.69.02.04 2010.10.13 Trojan.Win32.Generic.52391D33

Sophos 4.58.0 2010.10.13 Troj/VBDrop-S

Sunbelt 7049 2010.10.13 Trojan.Win32.Generic!BT

SUPERAntiSpyware 4.40.0.1006 2010.10.13 Trojan.Agent/Gen-Falcomp

Symantec 20101.2.0.161 2010.10.13 Adware.Lop

TheHacker 6.7.0.1.056 2010.10.13 W32/Joleee.fgs

TrendMicro 9.120.0.1004 2010.10.13 -

TrendMicro-HouseCall 9.120.0.1004 2010.10.13 -

VBA32 3.12.14.1 2010.10.13 -

ViRobot 2010.9.25.4060 2010.10.13 I-Worm.Win32.Joleee.200704.A

VirusBuster 12.67.14.0 2010.10.12 I-Worm.Joleee.CQP

Additional informationShow all

MD5 : d511057b0265490c52829e68cb2fa88b

SHA1 : 07c0c9844ed38debd98f114723d5d1d12d5784c3

SHA256: 4cfe4afa64c7a5941619e5f072dfe32d7a9302f450e9ec8d58aed35d616c63d0





y el otro mas de lo mismo :





File name: VSBNTLO.EXE.Muestra EliStartPage v21.77

Submission date: 2010-10-13 15:07:10 (UTC)

Current status: finished

Result: 30 /43 (69.8%)

VT Community



malware

Safety score: 0.0%

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.10.13.01 2010.10.13 Downloader/Win32.Small

AntiVir 7.10.12.207 2010.10.13 TR/Meredrop.A.15728

Antiy-AVL 2.0.3.7 2010.10.13 -

Authentium 5.2.0.5 2010.10.13 W32/Swizzor-based!Maximus

Avast 4.8.1351.0 2010.10.13 Win32:Malware-gen

Avast5 5.0.594.0 2010.10.13 Win32:Malware-gen

AVG 9.0.0.851 2010.10.13 -

BitDefender 7.2 2010.10.13 Trojan.Generic.KDV.47557

CAT-QuickHeal 11.00 2010.10.13 Trojan.Meredrop

ClamAV 0.96.2.0-git 2010.10.13 -

Comodo 6376 2010.10.13 Heur.Suspicious

DrWeb 5.0.2.03300 2010.10.13 Trojan.Spambot.9106

Emsisoft 5.0.0.50 2010.10.13 Virus.Win32.Vitro!IK

eSafe 7.0.17.0 2010.10.12 -

eTrust-Vet 36.1.7908 2010.10.13 -

F-Prot 4.6.2.117 2010.10.12 W32/Swizzor-based!Maximus

F-Secure 9.0.15370.0 2010.10.13 Trojan.Generic.KDV.47557

Fortinet 4.2.249.0 2010.10.13 -

GData 21 2010.10.13 Trojan.Generic.KDV.47557

Ikarus T3.1.1.90.0 2010.10.13 Virus.Win32.Vitro

Jiangmin 13.0.900 2010.10.13 -

K7AntiVirus 9.65.2733 2010.10.12 Trojan

Kaspersky 7.0.0.125 2010.10.13 Trojan-Downloader.Win32.Small.awad

McAfee 5.400.0.1158 2010.10.13 Generic.dx!ugu

McAfee-GW-Edition 2010.1C 2010.10.13 Artemis!76E240A2FF75

Microsoft 1.6201 2010.10.13 Trojan:Win32/Meredrop

NOD32 5528 2010.10.13 a variant of Win32/Injector.DEW

Norman 6.06.07 2010.10.12 -

nProtect 2010-10-13.01 2010.10.13 Trojan/W32.Agent.73728.AMO

Panda 10.0.2.7 2010.10.13 W32/MSNWorm.JG.worm

PCTools 7.0.3.5 2010.10.13 Malware.Pilleuz!rem

Prevx 3.0 2010.10.13 High Risk Cloaked Malware

Rising 22.69.02.04 2010.10.13 Trojan.Win32.Generic.52392F03

Sophos 4.58.0 2010.10.13 Mal/Generic-L

Sunbelt 7049 2010.10.13 Trojan.Win32.Generic!BT

SUPERAntiSpyware 4.40.0.1006 2010.10.13 Trojan.Agent/Gen-Koobface[Bonkers]

Symantec 20101.2.0.161 2010.10.13 W32.Pilleuz

TheHacker 6.7.0.1.056 2010.10.13 -

TrendMicro 9.120.0.1004 2010.10.13 -

TrendMicro-HouseCall 9.120.0.1004 2010.10.13 -

VBA32 3.12.14.1 2010.10.13 -

ViRobot 2010.9.25.4060 2010.10.13 -

VirusBuster 12.67.14.0 2010.10.12 Trojan.DL.Small.DQIF

Additional informationShow all

MD5 : 76e240a2ff75a32525be184fb1aaae4b

SHA1 : b7f65d43e9bcc9804a3e373663b1e3c1ae489811

SHA256: a16a34ac39eb8d797d507827585cb86a2f406976e0c5ece365d36ca2095b3a22







Estan en cola de monitorizacion, en cuanto se hayan procesado implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos, pero de momento ya estan aparcados en C:\muestras.



saludos



ms, 13-10-2010

[Renata]

[color=#BF0000]msc hotline sat,[/color] hace un par de horas se disparó el antivirus. (AVG), detectó 23 troyanos... dijo haberlos eliminado y me ordenó reiniciar el pc. Eso hice y al reiniciar inmediatamente volvió a salir el aviso que dejo acá como imagen... Eso si el pc lo siento más suave y más rápido, pues estaba como locomotora a vapor.



Me preocupa que salga a cada rato el aviso anunciando que dos de esos virus no se han ido... Le doy en mover a bóveda y no lo mueve, le doy en eliminar amenaza como usuario con poder y nanay tampoco, entonces solo me queda darle en omitir...



[img]http://i200.photobucket.com/albums/aa119/ojosdemar05/Afiches%20mi%20trabajo/Dibujo-1.jpg[/img]



[img]http://i200.photobucket.com/albums/aa119/ojosdemar05/Afiches%20mi%20trabajo/Dibujo-2.jpg[/img]





Gracias por su atención y por el análisis de las muestras, siempre recurro a ustedes por ser tan acertados y estar dispuestos a apoyarnos.



Saludos desde Colombia.

Renata.

[msc hotline sat]

Pues en cuanto se hayn monitorizado, se implementará su control y eliminacion en nuestras utilidades, de lo cual informaremos.



Espero que hoy mismo podré darte buenas noticias



saludos



ms, 14-10-2010

[msc hotline sat]

Ya monitorizadas sus muestras pasamos a implementar su control y eliminacion en el ELISTARA 21.80 de hoy, como variantes de Spam Tedroo y malware VSBNTLO


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 14-10-2010

[Renata]

Gracias, acabo de pasar el Elistara por usted recomendado, se me hace extraño que no es la versión 21.80



Dejo Info. Gracias.



14-10-2010 12:43:54 (GMT))

EliStartPage v21.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-10-2010 13:01:04 (GMT))

EliStartPage v21.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11767

Nº Total de Ficheros: 95028

Nº de Ficheros Analizados: 34790

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-10-2010 13:05:24 (GMT))

EliStartPage v21.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3384

Nº Total de Ficheros: 28015

Nº de Ficheros Analizados: 8060

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Claro la version que estamos haciendo hoy, la 21.80, estará disponible a partir de las 18 h, como cada día (lo decía casi al final de mi post anterior:



[i][b]A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus[/b][/i]



y será con la de hoy que podrá detectar y eliminar los Spam Tedroo y malware VSBNTLO indicados.



y recuerde lanzar un windowsupdate e instalar los parches pendientes :



[b]No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/b]



saludos



ms, 14-10-2010

[Renata]

Gracias [color=#BF0000][b]msc hotline sat[/b][/color], estaré pendiente de la hora, luego envío Info.



Respecto a los parches, ¿Será que debo mandar a formatear mi pc y a la vez cambiarle el Windows? Este me lo instaló un técnico.

Según un Ingeniero amigo dice que no es recomendable esta versión.



Gracias por sus respuestas.



Regreso.

[msc hotline sat]

Su amigo no ha entendido lo que le decimos... Nadie le va a decir que no instale el parche MS08-067, sino todo lo contrario ! Gracias a ello evitará infectarse vía TCP445 con el Conficker, y si falta alguno mas, conviene instalarlo, aunque no miremos mas que los que ocasionan mas riesgo si no están instalados.



Y si tiene alguna duda, que nos lo comente, entre técnicos nos entenderemos !



Si se refiere a que tiene instalada una version pirata, sería otra cosa, pero eso lo sabrá él, nosotros no lo vemos en los informes ... :)



Y ya está subida la nueva version 21.80 del ELISTARA, descarguela y tras probarla, nos postea el informe resultante, gracias



saludos



ms, 14-10-2010

[Renata]

Listo he pasado el Elistara 21.80 este es el info.







(14-10-2010 19:24:48 (GMT))

EliStartPage v21.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.80

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(14-10-2010 20:00:11 (GMT))

EliStartPage v21.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\MSVMIODE.EXE.MUESTRA ELISTARTPAGE V21.77 --> Eliminado, Spambot.Tedroo

C:\Muestras\VSBNTLO.EXE.MUESTRA ELISTARTPAGE V21.77 --> Eliminado, Malware.Vsbntlo



Nº Total de Directorios: 11667

Nº Total de Ficheros: 95631

Nº de Ficheros Analizados: 34778

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2





(14-10-2010 20:08:28 (GMT))

EliStartPage v21.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3384

Nº Total de Ficheros: 28017

Nº de Ficheros Analizados: 8063

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues se han eliminado estos dos:



C:\Muestras\MSVMIODE.EXE.MUESTRA ELISTARTPAGE V21.77 --> Eliminado, Spambot.Tedroo

C:\Muestras\VSBNTLO.EXE.MUESTRA ELISTARTPAGE V21.77 --> Eliminado, Malware.Vsbntlo



pero pide muestra de este otro:



Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.80



envianoslo para analizar y controlar, ya sabes como :)



debe ser otra variante del Spambot Tedroo diferente a la que ya controlamos con la 21.80 ...



saludos



ms, 15-10-2010

[Renata]

[quote="msc hotline sat"]Pues se han eliminado estos dos:



C:\Muestras\MSVMIODE.EXE.MUESTRA ELISTARTPAGE V21.77 --> Eliminado, Spambot.Tedroo

C:\Muestras\VSBNTLO.EXE.MUESTRA ELISTARTPAGE V21.77 --> Eliminado, Malware.Vsbntlo



pero pide muestra de este otro:



Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.80



envianoslo para analizar y controlar, ya sabes como :)



debe ser otra variante del Spambot Tedroo diferente a la que ya controlamos con la 21.80 ...



saludos



ms, 15-10-2010[/quote]



Listo, enviada la muestra. Quedo atenta de sus indicaciones.



¡Gracias!

[msc hotline sat]

Pues el lunes, cuando volvamos al trabajo en SATINFO, lo analizaremos e informaremos



De momento está aparcado en C:\muestras y no se cargará en los proximos reinicios. Simplemente es cuestion de pasar la nueva version del ELISTARA que haremos el lunes, tras controlar esta nueva variante, para eliminar las copias del malware y las claves de registro que lo lanzan.



si no hay nada nuevo, el lunes despues de las 19 horas aquí, (mas o menos al mediodía de Vds) descarguese la version de entonces del ELISTARA, la 21.82 y tras probarla, nos informa del resultado, y posiblemente ya podamos dar por solucionado el Tema



saludos



ms, 15-10-2010

[Renata]

Listo, quedo pendiente.



El problema que presenta ahora es que cada rato debo reiniciar el pc, pues se bloquea y ni para adelante, ni para atrás. Y me sigue saliendo el aviso de virus. Espero al lunes.



¡Gracias!

[msc hotline sat]

Pues no debería ser...



Lanza de nuevo el SPROCES y posteanos el informe resulñtante , c:\sproclog.txt , a ver lo que ha quedado o si hay algo nuevo...



saludos



ms, 15-10-2010





NOTA: Y dinos el nombre del virus que te detecta el antivirus que uses, y el nombre de dicho antivirus, gracias ... Y EL NOMBRE Y RUTA DEL FICHERO DONDE TE LO ENCUENTRA !



Estoy ya en casa y DURANTE ALGUN TIEMPO puedo dedicarme a ti por completo, asi que aprovecha !



saludos



ms, 15-10-2010





ANEXO: Revisando el Tema veo que usas AVG, no me acordaba, y que no has pasado nunca el SPROCES, pues ahí tienes:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto. ms.

[Renata]

Ohh, pensé que regresarías el lunes y por eso no entré el día de ayer, disculpa, ya de regreso, antes decidi desisntalar el AVG... anda como loco, me detecta 53 archivos infectados. Instalaré otro antivirus, pero antes de eso voy a pasar el Elsitara.



Acá te dejo el resultado del SPROCES. Mientras voy a pasar el Elistara de hoy. Gracias, regreso en un momento.





(17-10-2010 00:33:10 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: Equipo01

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\APPSERV\APACHE2.2\BIN\HTTPD.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\APPSERV\MYSQL\BIN\MYSQLD-NT.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\APPSERV\APACHE2.2\BIN\HTTPD.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\CFDRIVE32.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 9.0\ACROBAT\ACROBAT_SL.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 9.0\ACROBAT\ACROTRAY.EXE

D:\READER\READER_SL.EXE

C:\WINDOWS\SYSTEM32\DRIVERS\WINLOGON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYSTEM\SERVICES.EXE

C:\WINDOWS\SERVICES.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Shell=C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe,explorer.exe,C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe (HKCU)

F2 - REG:system.ini: Shell=Explorer.exe "C:\Documents and Settings\Administrador\Datos de programa\lsass.exe"

F2 - REG:system.ini: Taskman=C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\System32\drivers\winlogon.exe

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts:

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {0558df35-d276-4dfb-88d9-c6398aeedf91} - (no file)

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll (file missing)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: (no name) - {76c9124c-a245-4453-9bf6-ae2c6516600c} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll

O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: (no name) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - (no file)

O3 - Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: (no name) - {0558df35-d276-4dfb-88d9-c6398aeedf91} - (no file)

O3 - Toolbar: (no name) - {76c9124c-a245-4453-9bf6-ae2c6516600c} - (no file)

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [winlogon] C:\Windows\System32\drivers\winlogon.exe

O4 - HKCU\..\Run: [MSWUpdate] "C:\Documents and Settings\Administrador\Datos de programa\lsass.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Archivos de programa\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Windows Data Serivce] services.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe

O4 - HKLM\..\Run: [Windows] lsass.exe

O4 - HKLM\..\Run: [Windows Update] C:\Archivos de programa\Archivos comunes\System\services.exe

O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\TEMP\spoolsv.exe

O4 - HKLM\..\Run: [MSWUpdate] "C:\Documents and Settings\Administrador\Datos de programa\lsass.exe"

O4 - HKLM\..\Run: [winlogon] C:\Windows\System32\drivers\winlogon.exe

O4 - HKCU\..\Policies\Explorer\Run: [winlogon] C:\Windows\System32\drivers\winlogon.exe

O4 - HKLM\..\Policies\Explorer\Run: [msnmsgs] C:\Documents and Settings\Administrador\Datos de programa\pufrlwl.exe

O4 - HKLM\..\Policies\Explorer\Run: [Driversys] C:\WINDOWS\mwljdba.exe

O4 - HKLM\..\Policies\Explorer\Run: [VGA] C:\WINDOWS\system32\26.exe

O4 - HKLM\..\Policies\Explorer\Run: [msnmsg] C:\Documents and Settings\Administrador\Datos de programa\pqrsq.exe

O4 - HKLM\..\Policies\Explorer\Run: [Driversys32] C:\WINDOWS\wboxa.exe

O4 - HKLM\..\Policies\Explorer\Run: [VGAResolution] C:\WINDOWS\wboxa.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe

O4 - HKLM\..\Policies\Explorer\Run: [spoolsv] C:\WINDOWS\TEMP\spoolsv.exe

O4 - HKLM\..\Policies\Explorer\Run: [winlogon] C:\Windows\System32\drivers\winlogon.exe

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.13\AMVConverter\grab.html

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Anexar destino de vínculo a PDF existente - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a Adobe PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.13\MediaManager\grab.html

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O11 - Options group: [TABS] Tabbed Browsing

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 717296 bytes) ()



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apache2.2 - Apache Software Foundation - C:\AppServ\Apache2.2\bin\httpd.exe

O23 - Service: Application Updater - Unknown owner - C:\Archivos de programa\Application Updater\ApplicationUpdater.exe (file missing)

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\xampp\FileZillaFTP\FileZilla Server.exe (file missing)

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: mysql - Unknown owner - C:\AppServ\MySQL\bin\mysqld-nt --defaults-file=C:\AppServ\MySQL\my.ini (file missing)

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Modem Interface USB Device for Legacy Serial Communication (qcusbser) - TCT International Mobile Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\qcusbser.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys (file missing)

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys (file missing)

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



22 Servicios.

8 de Carga Automatica.

13 de Carga Manual.

1 Deshabilitados.

[Renata]

[b][size=150]Mmm Ms, me encuentro... no se si decir sorprendida o aterrada, ahora ya sin antivirus alguno, pasé el ELISTARA DE HOY (21.81) y me ordenó reiniciar para hacer mejor limpieza, entonces cancelé para reiniciar y mira el INFO que me ha enviado:

¿Por favor qué hago? [/size][/b]



[size=150][color=#BF0000]NOTA: Envié 5 muestras: SPOOLSV.EXE - SERVICES.EXE - ELIMD5.EXE. - MSVMIODE.EXE - MSVMIODE.EXE[/color][/size]





(17-10-2010 00:43:14 (GMT))

EliStartPage v21.81 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v21.81

a "virus@satinfo.es". Gracias.

C:\WINDOWS\TEMP\\SPOOLSV.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v21.81

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICES.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.81

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\LSASS.EXE.Muestra EliStartPage v21.81

a "virus@satinfo.es". Gracias.

C:\LSASS.EXE --> Eliminado

C:\WINDOWS\LOGFILE32.TXT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Run] "Spoolsv"="C:\WINDOWS\TEMP\spoolsv.exe"

Entrada Eliminada [HKLM\...\Run] "windows"="lsass.exe"

Entrada Eliminada [HKLM\...\Run] "Windows Update"="C:\Archivos de programa\Archivos comunes\System\services.exe"

Entrada Eliminada [HKCU\...\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

Entrada Eliminada [HKLM\...\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(17-10-2010 00:44:59 (GMT))

EliStartPage v21.81 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Cierre):

Sistema Infectado por el Spy.ZBot

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

[Renata]

[size=150]

Lo anterior fue antes de reiniciar. Al reiniciar mira el Info que dejó:



PREGUNTA: ¿Bajo el - No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza) que me ordena de las páginas de Satinfo? ¿? Quedo esperando tu respuesta... [/size]



(17-10-2010 00:44:59 (GMT))

EliStartPage v21.81 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Cierre):

Sistema Infectado por el Spy.ZBot

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



(17-10-2010 00:52:47 (GMT))

EliStartPage v21.81 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\services.exe.VIR --> Eliminado.

Entrada Eliminada [HKCU\...\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

Entrada Eliminada [HKLM\...\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(17-10-2010 01:02:35 (GMT))

EliStartPage v21.81 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11705

Nº Total de Ficheros: 94127

Nº de Ficheros Analizados: 34723

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(17-10-2010 01:07:01 (GMT))

EliStartPage v21.81 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3384

Nº Total de Ficheros: 28024

Nº de Ficheros Analizados: 8063

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues mañana recibiremos las muestras enviadas y tras analizarlas informaremos.



Aparte, debe lanzar un windowsupdate y actualizar parches, pues este MS08-067 hace falta tenerlo instalado para evitar la entrada del peligroso Conficker.



[b][i]Parche MS08-067 (Servicio Servidor) NO Instalado.[/i][/b]



Para ello pulse en Herramientas (en el navegador IE, arriba, en la barra de herramientas), y escoja WINDOWSUPDATE, y cuando se lo ofrezca, escoja ACTUALIZACION RAPIDA.



y efectivamente, en el SPROCES vemos, en ubicacion sospechosa, alguno de los que dices que nos envias:







C:\WINDOWS\SYSTEM32\DRIVERS\WINLOGON.EXE



C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYSTEM\SERVICES.EXE



C:\WINDOWS\SERVICES.EXE





los que no hayas enviado, hazlo ahora...





y ahi tenemos entradas maliciosas:



F2 - REG:system.ini: Shell=C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe,explor er.exe,C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe (HKCU)



F2 - REG:system.ini: Shell=Explorer.exe "C:\Documents and Settings\Administrador\Datos de programa\lsass.exe"



F2 - REG:system.ini: Taskman=C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe



envianos además pues, estos ficheros:





C:\Documents and Settings\Administrador\Datos de programa\ltzqai.exe



C:\Documents and Settings\Administrador\Datos de programa\lsass.exe





y lanza el ELISHELL, para restaurar la primera clave indicada





[b] ELISHELL.EXE: [/b]

http://www.zonavirus.com/datos/descargas/elishellexe.asp





y lanza el ELIPALEVO, que la última clave indicada delata a un Palevo rondando por ahí...





[b] ELIPALEVO.EXE: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp







y envianos tambien este fichero:



C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe



para lo cual deberás usar el ELIMOVER, entrando con un copiar dicha ruta\fichero





[b] ELIMOVER: [/b]

http://www.zonavirus.com/descargas/elimover.asp



y pulsa sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware





y todas estas claves lanzan ficheros maliciosos, entre ellos algunos ya antes mencionados:





O4 - HKLM\..\Run: [Windows Data Serivce] services.exe



O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe



O4 - HKLM\..\Run: [Windows] lsass.exe



O4 - HKLM\..\Run: [Windows Update] C:\Archivos de programa\Archivos comunes\System\services.exe



O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\TEMP\spoolsv.exe



O4 - HKLM\..\Run: [MSWUpdate] "C:\Documents and Settings\Administrador\Datos de programa\lsass.exe"



O4 - HKLM\..\Run: [winlogon] C:\Windows\System32\drivers\winlogon.exe



O4 - HKCU\..\Policies\Explorer\Run: [winlogon] C:\Windows\System32\drivers\winlogon.exe



O4 - HKLM\..\Policies\Explorer\Run: [msnmsgs] C:\Documents and Settings\Administrador\Datos de programa\pufrlwl.exe



O4 - HKLM\..\Policies\Explorer\Run: [Driversys] C:\WINDOWS\mwljdba.exe



O4 - HKLM\..\Policies\Explorer\Run: [VGA] C:\WINDOWS\system32\26.exe



O4 - HKLM\..\Policies\Explorer\Run: [msnmsg] C:\Documents and Settings\Administrador\Datos de programa\pqrsq.exe



O4 - HKLM\..\Policies\Explorer\Run: [Driversys32] C:\WINDOWS\wboxa.exe



O4 - HKLM\..\Policies\Explorer\Run: [VGAResolution] C:\WINDOWS\wboxa.exe



O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe



O4 - HKLM\..\Policies\Explorer\Run: [spoolsv] C:\WINDOWS\TEMP\spoolsv.exe



O4 - HKLM\..\Policies\Explorer\Run: [winlogon] C:\Windows\System32\drivers\winlogon.exe





Desde luego, despues de lo que ya habíamos hecho, no es lógico que tengas esto, mas bien lo has ingresado posteriormente, quizas por algun downloader desconocido que quedó en el ordenador...



Y como que dices habernos ya enviado:



C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v21.81



C:\WINDOWS\TEMP\\SPOOLSV.EXE --> Eliminado



C:\Muestras\SERVICES.EXE.Muestra EliStartPage v21.81



C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.81



C:\Muestras\LSASS.EXE.Muestra EliStartPage v21.81





pues conviene que nos envies también estos otros:





C:\Documents and Settings\Administrador\Datos de programa\pufrlwl.exe



C:\WINDOWS\mwljdba.exe



C:\WINDOWS\system32\26.exe



C:\Documents and Settings\Administrador\Datos de programa\pqrsq.exe



C:\WINDOWS\wboxa.exe



C:\WINDOWS\cfdrive32.exe



C:\Windows\System32\drivers\winlogon.exe





y añadas a todos ellos la extension .VIR, para que no se carguen a partir del proximo reinicio







Por último, lo que pide del ELINOTIF.DLL , es una DLL complementaria que conviene copies en la misma carpeta del ELISTARA:





[i][b]"Y si pide el ELINOTIF.DLL, copiar dicho fichero en la misma carpeta que el ELISTARA.EXE, el cual la utilizará si la necesita:



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp"[/b][/i]





Bueno, con lo que nos has posteado hemos visto bichos nuevos, que una vez nos envies, los analizaremos y pasaremos a controlar.



Lo que no sé es cual o qué causó su entrada, no es normal tras todo lo que habíamos hecho, por ello creo que han entrado posteriormente, a través de cualquier downloader.





Venga, que ya tienes faena... si no puedes hoy por tus quehaceres, hazlo cuando puedas :) . Hasta mañana no volvemos al trabajo en SATINFO, y hoy tenemos invitados en casa y tampoco podré estar mucho por aquí ! Pero si puedes enviarlos hoy a cualquier hora, nosotros podremos trabajar mañana mientras aun estareis durmiendo donde estás, y para cuando despiertes igual ya habermos podido analizar las muestras pedidas.



Sobre todo añade .VIR a los ficheros indicados, y lanza el ELISHELL, ELIPALEVO y el ELISTARA con el ELINOTIF en la misma carpeta, y cuando puedas haz lo del windowsupdate.



saludos y recuerdos para tu hermosa tierra, donde ya he estado, y, el año que viene, puede que vuelva, aunque no en tu ciudad, sino mas al Sur y mas al Norte, en ruta organizada por la empresa que cada año nos lleva de viaje por todo el mundo: http://www.viatgeseurovacances.net/2010-estiu-colombia.php



ms, 17-10-2010

[Renata]

Ms, como dices tengo faena en mi pc para un buen rato. Por fortuna en mi país mañana es festivo y tendré estos dos días para realizar cada paso.



Mi pc ya casi no avanza, me saca del Internet, debo reiniciar cada 15 mtos... mmm... Empezaré de inmediato primero con el parche, luego uno a cada cosa.



¡Colombia te espera el año entrante! Por motivo de trabajo me traslado continuamente por varias regiones del país, de pronto coincidimos.



Mil gracias, ahora ¡a trabajar en le limpieza de mi locomotora!



Saludos.

[msc hotline sat]

Quizás si arrancas en modo seguro con funciones de red, no se cargaran los bichos y prodrás trabajar con mas soltura, y sobre todo cuando hayas añadido .VIR a la extension de los ficheros indicados y reinicies, hasta que los analicemos e implementemos su control y eliminacion en nuestras utilidades, que ya los liquidaremos, si procede.



Es que se te ha metido de todo en este PC, supongo que por algun downloader que ha descargado muchos malwares !



Y te envio aparte un privado mas personal.



saludos



ms, 17-10-2010

[Renata]

Ms, he terminado de realizar cada sugerencia tuya.



[size=150]Algo extraño es que cuando entro a algunas páginas me sale un cuadro pequeño que dice:

sdfsdf 0 en otras ocasiones sdfsdf 1 o 2. Abajo me la barra aparece el logo de Winlog.exe que está en C:[/size]



Empiezo por decirte que he enviado las muestras solicitadas y que me han aparecido en el archivo que lleva el nombre MUESTRAS.



No encontré las carpetas:

C:\Documents and Settings\Administrador\Datos de programa\pufrlwl.exe

C:\WINDOWS\mwljdba.exe

C:\WINDOWS\system32\26.exe

C:\Documents and Settings\Administrador\Datos de programa\pqrsq.exe

C:\WINDOWS\wboxa.exe

C:\WINDOWS\cfdrive32.exe

C:\Windows\System32\drivers\winlogon.exe



Lancé el ELISTARA, ELIMOVER, ELIPALEVO, ELLEXE y debo decirte que entré por IE a herramientas, windows update, entró correctamente a la página y demoró bastante en actualizar. Al final dijo estar correctas las actualizaciones. Sin embargo, me sigue pidiendo el PARCHE...



Ahh, estos archivos no estaban en MUESTRAS, no los encontré:

Fichero: "C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe" -> Copiado a "C:\Muestras"



Te dejo el INFO, una vez más mil gracias.







(17-10-2010 18:24:20)

EliShell v1.2 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones:

El "Shell" Anterior a la Limpieza era:

"EXPLORER.EXE "C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\LSASS.EXE""

(17-10-2010 18:27:45 (GMT))

EliPalevo v1.87 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

[Taskman Desconocido]

Por favor, envienos una muestra del fichero

C:\Muestras\LTZQAI.EXE

a "virus@satinfo.es". Gracias.



(17-10-2010 18:46:47 (GMT))

EliPalevo v1.87 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11736

Nº Total de Ficheros: 95097

Nº de Ficheros Analizados: 1905

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(17-10-2010 18:55:59 (GMT))

EliPalevo v1.87 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3384

Nº Total de Ficheros: 28026

Nº de Ficheros Analizados: 364

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





(17-10-2010 18:59:50)

EliMover v1.1b (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe" -> Renombrado a .VIR



=======================================



(17-10-2010 19:05:03 (GMT))

EliStartPage v21.81 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v21.81

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICES.EXE --> Eliminado

C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Run] "Windows Update"="C:\WINDOWS\system32\n2m8.exe"

Entrada Eliminada [HKCU\...\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

Entrada Eliminada [HKLM\...\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "winlogon"="C:\Windows\System32\drivers\winlogon.exe"

Eliminado Servicio, "SSHNAS"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(17-10-2010 19:34:33 (GMT))

EliStartPage v21.81 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11733

Nº Total de Ficheros: 93413

Nº de Ficheros Analizados: 34750

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[Renata]

Ms. cada momento estoy mas preocupada por mi pc, no dejan de entrar virus y más virus, en este momento solo tenía abierto mi correo, y ha llegado un nuevo ataque de virus llamado [u]dragón[/u] al que renombré .vir, todos entran a la carpeta de temporales... Mañana cuando ustedes regresen a su puesto de trabajo van a encontrar la parte MUESTRAS invadido de mis bichos,... si no estoy mal he enviado hoy más de 10 archivos. Y eso que algunos no los pude localizar...



Estaré acá pendiente de todo lo que me puedas decir.



Saludo.

[msc hotline sat]

Pues será lo primero que haremos hoy, buscar tus muestras y tras preanalizarlas, las que den positivo las monitorizaremos y luego implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



SIn duda has ingresado un Downloader que está descargando troyanos sin parar, y en cuanto lo eliminemos espero que todo volverá a la normalidad.



Logicamente tambien de han de eliminar las descargas que haya hecho, y que por lo visto son muchas...



No te preocupes que estás en buenas manos :)



saludos



ms, 18-10-2010

[msc hotline sat]

Hola, Renata !



Pues recibidos tus ficheros sospechosos, he ido acumulando los resultados de los analisis y nuestro criterio al respecto:



Empecemos:



Tienes un AUTORUN.INF que lanza un ntldr.exe :



[i][autorun]

open=ntldr.exe

shellexecute=ntldr.exe[/i]



mira de enviarnos este NTLDR.EXE para analizar.



___________



y de los que nos has enviado muestra:





CALC.EXE.VIR -> es una variante de Spam Tedroo que pasamos a controlar con el ELISTARA de hoy, 21.82



DRAGON.EXE.VIR -> es una variante de PWS.BV.NGA, que pasamos a controlar con el ELISTARA de hoy 21.82



LSASS.EXE.VIR -> es una variante de ARHOST, que pasamos a controlar con el ELISTARA de hoy, 21.82



njlks.exe.vir -> ES UNA VARIANTE de KOLAB, que pasamos a controlar con el ELISTARA de hoy, 21.82



SPOOLSV.EXE.VIR -> ES UNA VARIANTE DE DOWNLOADER , que pasamos a controlar con el ELISTARA de hoy, 21.82



SYSCR.EXE.VIR -> ES UNA VARIUANTE DE PALEVO que pasamos a controlar con el ELIPALEVO de hoy 1.88



winservice:exe.vir -> VARIANTE DE FAKE AV que pasamos a controlar con el ELISTARA 21.82 de hoy



casjjxs4 - vacio



CFDRIVE32.EXE -> Trojan IRCBRUTE que pasamos a controlar con el ELISTARA DE hoy 21.82



ELIMD5.EXE -> es nuestra utilidad original ... no ha lugar ! (las detecciones en él son falsos positivos)



MSVMIODE -> dos muestras diferentes del SpamTeedro, que pasamos a controlar con el ELISTARA de hoy 21.82



SYSCR.EXE -> Variante de PALEVO - controlado a partir del ELIPALEVO de hoy 1.88



WINLOG.EXE -> variante de AUTORUNNER -controlado a partir de ELISTARA de hoy 21.82





ojo con este último que nos ha llegado sin renombre de la extension, si lo tienes como .EXE, añadele .VIR







Vemos que hay un Downloader, en el SPOOLSV.EXE, QUE NO ES EL DEL SISTEMA OPOERATIVO, CLARO !!! y ha podido ser la causa de la aparición de tanto malware en tu ordenador



Fijate que el CASJJSX4 no tiene ni extension ni tamaño, por lo que no podemos analizarlo. Si en el ordenador lo tienes de verdad, envianoslo para analñizar, junto con el que te pediamos al prinicip, este NTLDR.EXE que lanza el AUTORUN.INF



y esta tarde, a partir de las 19 horas (mediodia para tí), ya podrás descargar y probar las nuevas versiones de ELISTARA y de ELIPALEVO que en los preanalisis hemos intuido que corresponderán a los troyanos contenidos en los ficheros, si cuando los monitoricemos resulta que se precisa alguna otra utilidad, ya te lo diaría, pero creo que serán en estas dos donde incluiremos todas las detecciones y eliminacion de tus bichos actuales !





y si no decimos nada mas tarde, ya nos contarás cuando hagas lo indicado.



saludos



ms, 18-10-2010