TROYANO CAPRICHOSO (SOLUCIONADO)

[Renata]

MS, te deseo un bello inicio de semana, entre tantos bichos enviados y que continúan llegando de mi parte.



Empecemos:



- AUTORUN.INF que lanza un ntldr.exe ENVIADO A MUESTRAS y renombrado en .vir



Encontré un archivo extraño, en C:WINDOWS es este WindowsShell.Manifest lo enviaré a muestras sin renombrarlo aún hasta esperar tus indicaciones.



Envíe dos archivos más que aparecieron esta mañana, puesto que anoche no andaban.



- WINLOG.EXE -> variante de AUTORUNNER , está en varias partes de mi pc. Por ahora he renombrado tres de esos a .vir



- SPOOLSV.EXE, QUE NO ES EL DEL SISTEMA OPOERATIVO, CLARO... ¿Qué hacer?



- El CASJJSX4, NO LO HE ENCONTRADO.



Acá son las 9:50 de la mañana, esperaré hasta el medio día para pasar el ELISTARA y el [b][i]ELIPALEVO[/i][/b]

Haciendo un poco de historia, en días pasados mi hija que estudia Diseño Gráfico trajo un CD y bajó los programas para ello. Pero todo este ataque inició desde que cambiamos de operador de Internet. Antes utilizaba un Móvil de una operador de Celular y ahora utilizo una estable o estática de un operador de cable. NO se... siempre se buscan culpables, en mi país todos somos inocentes hasta que se demuestre lo contrario. :roll:



¡Gracias por tu asesoría!



Saludos.

[msc hotline sat]

Pues vamos intercalando tus muestras entre las de los clientes, y ya estamos a mas de la mitad, y las que no podamos hoy, mañana seguimos, pero si en todos los ficheros indicados se ha añadido la extension .VIR , ya no reinfectarán cuando se reinicie el ordenador, claro que interesa, ademas, restaurar claves, que es lo que completaremos con las utilidades, aparte de buscar los ficheros por cadenas, incluidas las copias que pudieran haber hecho de los mismos, y que sin ello podrían relanzarse.



Pore ejemplo esto ocurre con el que dices [i]" WINLOG.EXE -> variante de AUTORUNNER , está en varias partes de mi pc. Por ahora he renombrado tres de esos a .vir[/i]"



y sobre el otro SPOOLSV que no es el del sistema, pues le añades .VIR al final, copmo a los demas, y ya lo liquidaremos con el ELISTARA 8este creo que ya se ha monitorizado)



Si alguno no encuentras, prueba con el ELIMOVER, ya sabes.



Y te dejo que si no no termino !



saludos



ms, 18-10-2010

[msc hotline sat]

Bueno, el tiempo se nos ha echado encima... ya son las 18:30 y se cierra SATINFO.



Ya puedes descargar el ELISTARA 21.82 y probarlo.



Entre esto y lo de añadir .VIR a los ficheros en cuestion, espero que ya estaremos a un 80 % de solucionar los problemas de tu ordenador



Mañana seguiremos con lo que nos queda tuyo, que hoy ha sido un día duro, pues ha habido varios casos con un nuevo Fake AV SMART.ENG que ha sido problemático, pues han sabido esconderlo de forma que no se vea como proceso activo, sin ser un RootKit... pero es nuestro problema, para esto estamos !



Y además como que tenemos unos 50 ordenadores en la empresa y siempre hay que estar haciendo mantenimiento, de lo cual se ocupan tambien mis tecnicos, hoy ha habido complicaciones, con un alimentador de un cortafuegos CLAVISTER que se ha quemado y hemos tenido que apañr otro mientras llega de Suecia el recambio !



Bueno, te dejo que mis mujeres (tengo ahora las dos trabajando conmigo, bueno mandandome ) y me dan el pistoletazo de salida para casa (vivimos a unos 35 km de Barcelona, donde se vive mejor :)



Chao, seguiré alli, respondiendo al privado que tenemos a medias :)



saludos



ms, 18-10-2010

[Renata]

¡Gracias Ms!



Las mujeres somo el sexo fuerte, así que siempre llevamos la bandera y mandamos la parada :D



(Se me habían borrado las tildes de mi teclado... ¡Uff! imagínate una maestra de español sin tildes.... grave estaba la cuestión. Al reiniciar regresaron ellas)



Te comenté que desintalé mi antivirus. Ahora compruebo que fue lo mejor que pude haber hecho por iniciativa propia.

El nuevo que instalé hace un rato me detectó que en una de las carpetas de ese anterior había una infección. El nuevo antivirus, recomendado por mi hijo..., me saca un aviso que dice: HA SIDO BLOQUEADA LA DIRECCIÓN REMOTA IP 218.85.133.201.80 ¿? ¿Según mis precarios conocimientos, quiere decir que alguien estaba espiando mis archivos...? :roll: :evil: :twisted:



En un instante paso la versión reciente del ELISTARA y estoy segura que con todo lo que me has aportado mi pc quedará libre de cuanto bicho lo ataca. Ya pasé los demas como el ELIMOVER, ELIPAVELO, ELIPEN Y ELISELL.

Pronto envío el INFO y una muestra nueva que ha llegado.



Te deseo un buen descanso en familia.

[Renata]

Esto que viene a continuación es sorprendente.. mmm.



Acabo de enviar las cinco muestras que salieron después de este análisis.



Y acá viene el INFO: :oops:



(18-10-2010 19:34:41 (GMT))

EliStartPage v21.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINLOG.EXE.VIR --> Eliminado, Malware.Wpwiz

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\JHETXKCO\WINLOG[1].EXE --> Eliminado, Malware.Wpwiz

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\JHETXKCO\WINLOG[2].EXE --> Eliminado, AutoRun.Arhost.B

C:\Muestras\Nueva carpeta\LSASS.EXE.MUESTRA ELISTARTPAGE V21.81.VIR --> Eliminado, AutoRun.Arhost.B

C:\Muestras\Nueva carpeta\MSVMIODE.EXE.MUESTRA ELISTARTPAGE V21.80.VIR --> Eliminado, Spambot.Tedroo

C:\Muestras\Nueva carpeta\MSVMIODE.EXE.MUESTRA ELISTARTPAGE V21.81.VIR --> Eliminado, Spambot.Tedroo

C:\Muestras\Nueva carpeta\SPOOLSV.EXE.MUESTRA ELISTARTPAGE V21.81.VIR --> Eliminado, Malware.Wpwiz

C:\WINDOWS\CFDRIVE32.VIR --> Eliminado, Trojan.Ircbrute

C:\WINDOWS\system32\MSVMIODE..VIR --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\107264.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\20386.VIR --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\237567.EXE --> Eliminado, Trojan.Ircbrute

C:\WINDOWS\Temp\244835.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\5632.VIR --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\569352.EXE --> Eliminado, Trojan.Ircbrute

C:\WINDOWS\Temp\576627.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\6274.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\6393.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\687.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\687770..VIR --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\744826.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\91245.EXE --> Eliminado, Trojan.Ircbrute

C:\WINDOWS\Temp\9218757.EXE --> Eliminado, Spambot.Tedroo



Nº Total de Directorios: 11719

Nº Total de Ficheros: 92706

Nº de Ficheros Analizados: 34759

Nº de Ficheros Infectados: 23

Nº de Ficheros Limpiados: 23



(18-10-2010 19:39:59 (GMT))

EliStartPage v21.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3387

Nº Total de Ficheros: 28033

Nº de Ficheros Analizados: 8070

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



=========



(18-10-2010 19:44:47 (GMT))

EliPalevo v1.87 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

[Taskman Desconocido]

Por favor, envienos una muestra del fichero

C:\Muestras\LTZQAI.EXE

a "virus@satinfo.es". Gracias.



(18-10-2010 19:50:20 (GMT))

EliPalevo v1.87 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11719

Nº Total de Ficheros: 92692

Nº de Ficheros Analizados: 1965

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-10-2010 19:52:02 (GMT))

EliPalevo v1.87 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3387

Nº Total de Ficheros: 28033

Nº de Ficheros Analizados: 368

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





(18-10-2010 19:54:48)

EliShell v1.2 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones:

El "Shell" Anterior a la Limpieza era:

"EXPLORER.EXE "C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\LSASS.EXE""

(18-10-2010 19:59:55 (GMT))

EliStartPage v21.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\services.exe.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v21.82

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICES.EXE --> Renombrado a .VIR

C:\Documents and Settings\Administrador\Datos de programa\DATA.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Windows Update"="C:\Archivos de programa\Archivos comunes\System\services.exe"

Entrada Eliminada [HKCU\...\Run] "winlogon"="C:\winlogon.exe"

Entrada Eliminada [HKLM\...\Run] "winlogon"="C:\winlogon.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "winlogon"="C:\winlogon.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "winlogon"="C:\winlogon.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(18-10-2010 20:04:14 (GMT))

EliStartPage v21.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\services.exe.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Eliminado Spambot.Tedroo

Por favor, envienos una muestra del fichero

C:\Muestras\CFDRIVE32.EXE.Muestra EliStartPage v21.82

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CFDRIVE32.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKCU\...\Run] "winlogon"="C:\winlogon.exe"

Entrada Eliminada [HKLM\...\Run] "winlogon"="C:\winlogon.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "winlogon"="C:\winlogon.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "winlogon"="C:\winlogon.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(18-10-2010 20:19:02 (GMT))

EliStartPage v21.82 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\Temp\374.EXE --> Eliminado, Spambot.Tedroo



Nº Total de Directorios: 11718

Nº Total de Ficheros: 92710

Nº de Ficheros Analizados: 34741

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Bueno, decirte que la IP que intercepta el antivirus que habeis instalado es una seguramente indeseable, pues no creo que tengas negocios con China:



218.85.133.201 CN China 23 Shanghai Shanghai 31.0050 121.4086 Data Communication Division chinanet fujian province network



y sí, algo enviabas a través del port 80 de dicho servidor... no sé lo que era, pero bueno ha sido pararlo.



Ya veo que se ha hecho bastante limpieza, aunque no hayamos acabado, pero parece que lo de las tildes se ha solucionado, por algo se empieza... :)



Revisaremos las muestras que dices habernos enviado, junto con las que todavía tenemos tuyas pendientes de ayer, y tras analizarlas, informaremos



saludos y que tengas un buen día, que para vosotros acaba de empezar, aunque sea de noche !



ms, 19-10-2010

[msc hotline sat]

Pues seguimos trabajando para tí RENATA...



Resulta que hoy han aparecido dos PALEVO en los ficheros SYSCR.EXE y LTZCAI, que controlaremos con el ELIPALEVO 1.88 de hoy



Y un FAKE ALERT en el WINSERVICE y un Downloader en el SERVICES.EXE, que controlaremos con la nueva version 21.83 del ELISTARA de hoy



y un KOLAB en el el fichero NJKIS.EXE, de nombre variable, y que pasaremos a controlar con el ELITRIIP 6.98 de hoy



Y vamos haciendo, cvando podemos entre llamadas, urgencias y muestras de clientes, pero es para que veas que no nos olvidamos de tí :)



seguiremos informando



saludos



ms, 19-10-2010

[msc hotline sat]

y seguimos con tus muestras, RENATA:





Al fichero VSBNTLO.EXE lo pasamos a controlar como MALWARE VSBNTLO a partir del ELISTARA 21.83 DE HOY



Y CON LA MISMA VERSION DEL ELISTARA 21.83 conbtrolaremos tambien estos otros ficheros:





CFDRIVE32.EXE como TROJAN IRC BRUTE



LSASS.EXE como AUTORUN.ARHOST





y este último se propaga por pendrive, asi que recuerda vacunar todos los ordenadores y pendrives con el ELIPEN !!!





Y cuando me informen de otras monitorizaciones de tus muestras, volveré a informarte



Espero que hoy queden todos controlados.



saludos



ms, 19-10-2010

[Renata]

Ms, mis tildes se han cambiado de lugar ahora estçan en ese simbolo... :roll: Igual los demás signos y símbolos en el teclado.. andan todos desordenados en lugares cambiados...



Ahora salgo a trabajar, regreso después de medio acá en mi país y a limpiar se dijo.



De todas maneras esto a ha mejorado mucho, mi pc ya no se desconecta tan seguido del Internet, ni se bloquea, además ya no salen los avisos de virus... claro cambié de antivirus pero el nuevo si me avisa en un ladito discretamente los nuevos virus que entran que ya son menos.



Lo del parche... no me lo recibe, no me deja actualizar... mmm



Regreso más tarde.



Un abrazo y mil gracias por toda tu atención.



Renata.

[msc hotline sat]

y los últimos de Filipinas ...



Sobre el NTLDR.EXE y el AUTORUN.INF que lo lanza:





El ntldr es inicialmente el cargador de NT, NT LOADER, pero además este tiene como nombre original mscorlib.dll, que es una librería de Microsoft.NET, asi que entendemos que este AUTORUN.INF puede formar parte de un pendrive de arranque, y lo dejamos estar. Además, ninguno de los AV de virustotakl lo detactan, lo cual da peso al criterio indicado.





File name: ntldr.exe

Submission date: 2010-10-19 09:57:58 (UTC)

Current status: finished

Result: 0 /43 (0.0%)

VT Community





Additional informationShow all

MD5 : 0e6abf2107c72f5fa86ee620be315ca0

SHA1 : 2c4f9d104b11e8595e7a261329c6c75f8f3cdda9



File size : 4546560 bytes



publisher....: Microsoft Corporation

copyright....: (c) Microsoft Corporation. All rights reserved.

product......: Microsoft_ .NET Framework

description..: Microsoft Common Language Runtime Class Library

original name: mscorlib.dll

internal name: mscorlib.dll

file version.: 2.0.50727.3053 (netfxsp.050727-3000)





__________





El SVCHOST.EXE pedido por el ELISTARA, tambien lo vamos a controlar como malware MSIL, que por algo NOD32 ya le llama asi, y suponemos que será de la familia:







File name: Svchost.gxe

Submission date: 2010-10-19 11:31:49 (UTC)

Current status: finished

Result: 2 /43 (4.7%)

VT Community



malware

Safety score: 0.0%

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.10.19.01 2010.10.19 -

AntiVir 7.10.12.249 2010.10.19 TR/Dropper.Gen

Antiy-AVL 2.0.3.7 2010.10.19 -

Authentium 5.2.0.5 2010.10.19 -

Avast 4.8.1351.0 2010.10.19 -

Avast5 5.0.594.0 2010.10.19 -

AVG 9.0.0.851 2010.10.19 -

BitDefender 7.2 2010.10.19 -

CAT-QuickHeal 11.00 2010.10.19 -

ClamAV 0.96.2.0-git 2010.10.19 -

Comodo 6439 2010.10.19 -

DrWeb 5.0.2.03300 2010.10.19 -

Emsisoft 5.0.0.50 2010.10.19 -

eSafe 7.0.17.0 2010.10.19 -

eTrust-Vet 36.1.7920 2010.10.19 -

F-Prot 4.6.2.117 2010.10.18 -

F-Secure 9.0.16160.0 2010.10.19 -

Fortinet 4.2.249.0 2010.10.19 -

GData 21 2010.10.19 -

Ikarus T3.1.1.90.0 2010.10.19 -

Jiangmin 13.0.900 2010.10.19 -

K7AntiVirus 9.66.2779 2010.10.18 -

Kaspersky 7.0.0.125 2010.10.19 -

McAfee 5.400.0.1158 2010.10.19 -

McAfee-GW-Edition 2010.1C 2010.10.19 -

Microsoft 1.6301 2010.10.19 -

NOD32 5544 2010.10.19 probably a variant of MSIL/Injector.AT

Norman 6.06.07 2010.10.19 -

nProtect 2010-10-19.01 2010.10.19 -

Panda 10.0.2.7 2010.10.18 -

PCTools 7.0.3.5 2010.10.19 -

Prevx 3.0 2010.10.19 -

Rising 22.70.01.04 2010.10.19 -

Sophos 4.58.0 2010.10.19 -

Sunbelt 7092 2010.10.19 -

SUPERAntiSpyware 4.40.0.1006 2010.10.19 -

Symantec 20101.2.0.161 2010.10.19 -

TheHacker 6.7.0.1.060 2010.10.19 -

TrendMicro 9.120.0.1004 2010.10.19 -

TrendMicro-HouseCall 9.120.0.1004 2010.10.19 -

VBA32 3.12.14.1 2010.10.18 -

ViRobot 2010.10.19.4101 2010.10.19 -

VirusBuster 12.69.5.0 2010.10.18 -

Additional informationShow all

MD5 : 3b80d1806b233043138fece4148c3b9c

SHA1 : a066227d066dada0bca01ee95c6f11d11822623c

SHA256: f5c8f9a52ceb6b6fc6bb0a870f45ad2e890adbf8f2fefa3d4881fe035e44b1cf

ssdeep: 1536:cP5DgyBfjOiS9TgKLF2qkQxRxbknA/NCtjr7NHsRqe:k5DgyB7rSVB/OnA/Etjr5sRqe

File size : 90112 bytes

First seen: 2010-10-19 11:31:49

Last seen : 2010-10-19 11:31:49

Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono/.Net assembly

TrID:

Generic CIL Executable (.NET, Mono, etc.) (76.7%)

Win32 Executable Generic (8.9%)

Win32 Dynamic Link Library (generic) (7.9%)

Win16/32 Executable Delphi generic (2.1%)

Generic Win/DOS Executable (2.0%)

sigcheck:

publisher....: n/a

copyright....:

product......: n/a

description..:

original name: FUDunkbot.exe

internal name: FUDunkbot.exe

file version.: 0.0.0.0



_____________





Y al AUDIOHD.EXE, otro tanto, aunque su nombre interno sea N0ise.exe (la O es un cero) , es otra variante de MSIL, por lo que lo vamos a controlar igual que los dos anteRiores.



Nombre del archivo: audiohd.exe

Estado: Listo el proceso de escanear. 3 de 19 malware avisado.

Escaneando: mar 19 oct 2010 16:36:46 (CET) Su link de resultados





--------------------------------------------------------------------------------

Otras informaciones

Tamaño del archivo: 23552 Bytes

Tipo del archivo: PE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono/.Net assembly

MD5: 4d0b8e148a59eb8eff4b5a408f1929a0

SHA1: 3406ae1c7100dedb7765c45e9f68b370073f6d3c



Escaneador

2010-10-19 No se encontró nada 2010-10-19 No se encontró nada

2010-10-19 No se encontró nada 2010-10-19 Worm.MSIL

2010-10-18 No se encontró nada 2010-10-19 No se encontró nada

2010-10-19 No se encontró nada 2010-10-19 MSIL/Restamdos.AA

2010-10-19 No se encontró nada 2010-10-18 No se encontró nada

2010-10-19 No se encontró nada 2010-10-19 No se encontró nada

2010-10-19 No se encontró nada 2010-10-19 Mal/MSIL-A

2010-10-19 No se encontró nada 2010-10-19 No se encontró nada

2010-10-19 No se encontró nada 2010-10-19 No se encontró nada

2010-10-19 No se encontró nada





______________



Por último los dos ficheros de nombre kwwaftrpp y lrpryreoo , suponemos que con extension .EXE ya que han llegado como VIR (no como .EXE.VIR como siempre pedimos, para ver la extension inicial SYS, DLL. EXE. etc) resultan ser variantes del malware WPWIZ, de los que ayer ya controlamos a varios (lsass, csrss, spolss, etc)y pasamos a implementar su control y eliminacion en el ELISTARA de hoy, 21.83





Asi que en una hora y media, bajate las nuevas versiones de ELISTARA, el ELIPALEVO y el ELITRIIP y creo que con ellas ya terminaremos los problemas, al menos por ahora :)



b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/datos/descargas/78/EliStar



[b] ELIPALEVO: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp



Posteanos el infosat.txt resultante y comentanos si tras reiniciar persiste algun problema o ya podemos darlo por solucionado, gracias





saludos



ms, 19-10-2010

[msc hotline sat]

Ya subidas las nuevas verisones, pruebalas cuando quieras... o puedas, claro !



"C'est fini par aujourd'hui" como dicen nuestros vecinos franceses, y a punto de partir para casa, para seguir allí.



Ya postearás tus progresos al respecto, gracias



saludos



ms, 19-10-2010

[Renata]

Ms, mi d´´ia, recuper´´e los acentos pero con ese salto que los hace mortales para quien trabaja las letras... :oops:

Te decía, mi día fue demasiado largo, no logre llegar a casa hasta las 10 de la noche, hora en que has de estar en el quinto sueño y muy merecido descanso.Los archivos que te envié como .vir ya renombrados, fue debido a que no se dejaban comprimir en su estado original, solo logre hacerlo con .vir. Pero ya sabiendo no lo vuelvo a hacer, para que se puedan analizar bien.



Hasta ahora entro de lleno. Aunque me trasnoche un tris, me pondré los guantes, la mascarilla y a combatir bichos se dijo.



Regreso con el INFO.

[Renata]

Mi querido señor. Acá está el Info... 8)



Mañana acá, hoy allá en tu país, entro para saber que sigue.



Enviadas las muestras también. ¡Gracias!



Abrazo.





(20-10-2010 04:15:36 (GMT))

EliTriIP v6.98 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\Plantillas\nJIkS.exe.exe.vir --> Eliminado, Net-Worm.Kolab.LDO



Nº Total de Directorios: 11724

Nº Total de Ficheros: 92408

Nº de Ficheros Analizados: 27352

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(20-10-2010 04:17:37 (GMT))

EliTriIP v6.98 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3389

Nº Total de Ficheros: 28037

Nº de Ficheros Analizados: 6555

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(20-10-2010 04:18:35 (GMT))

EliStartPage v21.83 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.83

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CFDRIVE32.EXE.Muestra EliStartPage v21.83

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CFDRIVE32.EXE --> Eliminado

C:\Documents and Settings\Administrador\Datos de programa\DATA.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Run] "Windows Data Serivce"="services.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "spoolsv"="C:\WINDOWS\TEMP\spoolsv.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(20-10-2010 04:29:21 (GMT))

EliStartPage v21.83 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\Datos de programa\AUDIOHD..VIR --> Eliminado, Malware.MSIL

C:\Documents and Settings\Administrador\Datos de programa\KWWAFTRPP.VIR --> Eliminado, Malware.Wpwiz

C:\Documents and Settings\Administrador\Datos de programa\LRPRYREOO.VIR --> Eliminado, Malware.Wpwiz

C:\Documents and Settings\Administrador\Datos de programa\QGHUMEAYLNLFDXFIRCVS85.VIR --> Eliminado, Malware.MSIL

C:\Muestras\CFDRIVE32.EXE.MUESTRA ELISTARTPAGE V21.82.VIR --> Eliminado, Trojan.Ircbrute

C:\Muestras\Nueva carpeta\-.VIR --> Eliminado, DownLoader.Small.KTP

C:\Muestras\Nueva carpeta\CFDRIVE32.EXE.MUESTRA ELISTARTPAGE V21.82-2.VIR --> Eliminado, Trojan.Ircbrute

C:\Muestras\Nueva carpeta\LSASS.EXE.MUESTRA ELISTARTPAGE V21.82.VIR --> Eliminado, AutoRun.Arhost.B

C:\Muestras\Nueva carpeta\SVCHOST.EXE.MUESTRA ELISTARTPAGE V21.82.VIR --> Eliminado, Malware.MSIL

C:\Muestras\Nueva carpeta\VSBNTLO.EXE.MUESTRA ELISTARTPAGE V21.82.VIR --> Eliminado, Malware.Vsbntlo

C:\WINDOWS\CFDRIVE32..VIR --> Eliminado, Trojan.Ircbrute

C:\WINDOWS\system\HDKKDLUJIWBY.EXE --> Eliminado, Malware.Wpwiz

C:\WINDOWS\system32\WUDHOST.EXE --> Eliminado, Malware.MSIL

C:\WINDOWS\system32\drivers\CDPRSBNJKDSK.EXE --> Eliminado, Malware.MSIL

C:\WINDOWS\system32\drivers\CYRUJOBVUTFX.EXE --> Eliminado, Malware.MSIL

C:\WINDOWS\system32\drivers\PIVAEEWJSLSD.EXE --> Eliminado, AutoRun.Arhost.B



Nº Total de Directorios: 11721

Nº Total de Ficheros: 92376

Nº de Ficheros Analizados: 34801

Nº de Ficheros Infectados: 16

Nº de Ficheros Limpiados: 16



(20-10-2010 04:31:53 (GMT))

EliStartPage v21.83 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3389

Nº Total de Ficheros: 28037

Nº de Ficheros Analizados: 8070

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(20-10-2010 04:32:44 (GMT))

EliPalevo v1.88 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

[Taskman Desconocido]

Por favor, envienos una muestra del fichero

C:\Muestras\LTZQAI.EXE

a "virus@satinfo.es". Gracias.



(20-10-2010 04:38:20 (GMT))

EliPalevo v1.88 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\JHETXKCO\4[1].exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\W7RN1URC\4[1].exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\ZOFURVYI\4[1].exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\Muestras\Nueva carpeta\syscr.exe.Muestra EliMover v1.1b.vir --> Eliminado, P2P-Worm.Palevo(syscr)

C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe.vir --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\04.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\13.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\23.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\33.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\47.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\64.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\73.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\77.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\81.exe --> Eliminado, P2P-Worm.Palevo(syscr)



Nº Total de Directorios: 11721

Nº Total de Ficheros: 92361

Nº de Ficheros Analizados: 1944

Nº de Ficheros Infectados: 14

Nº de Ficheros Limpiados: 14



(20-10-2010 04:40:08 (GMT))

EliPalevo v1.88 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3389

Nº Total de Ficheros: 28037

Nº de Ficheros Analizados: 367

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues el informe habla por sí solo, con una buena serie de bichos detectados y eliminados, pero todavía queda alguno que rematar !





Pues se detectan variantes de los malwares eliminados, envianos estas muestras que pide el ELISTARA y el ELIPALEVO



del primero:



Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.83



Por favor, envienos una muestra del fichero

C:\Muestras\CFDRIVE32.EXE.Muestra EliStartPage v21.83





y del ELIPALEVO esta otra:



Por favor, envienos una muestra del fichero

C:\Muestras\LTZQAI.EXE





que entiendo ya has enviado, pues a ver si cuando lleguemos a SATINFO las encontramos e implementamos su control y eliminacion en nuesras utilidades de hoy.



Tras ello ya no debería quedar nada, a no ser que algo oculto las esté regenerando, como un Rootkit ... pero no adelantemos malos acontecimientos, de momento ya están aparcados los ficheros sospechosos, y tras reiniciar no debería ya detectarse nada mas... pero ya veremos.



Y de momento felicidades, que has hecho buena limpieza !



saludos



ms, 20.10.2010

[Renata]

Ms, realizada esta última limpieza y enviadas las muestras, ya no queda sino esperar que todo esté superado. He recobrado mis tildes, los signos están en su lugar, mi teclado está suave al igual que el pc ha agilizado su transito por la Web.



Pero es que sin tu apoyo me hubiese quedado a mitad del camino sin saber para donde dar marcha.



Espero tus indicaciones en adelante.



Me retiro, son acá las 12:35, ya es hora del descanso.



Que pases un feliz día y Dios te pague por todo.



Abrazo.

[msc hotline sat]

Sí, ya veo que trasnochas !



Que descanses, acabo de llegar a la empresa y voy a ver si nos entregan las muestras que supongo has enviado, pues hay tres mails tuyos, que supongo seran dichas muestras.



Que descanses, nosotros trabajaremos por tí mientras sueñas...



saludos



ms, 20-10-2010

[msc hotline sat]

Para cuando despiertes, hemos implementado el control y eliminacion de las tres muestras recibidas, en el ELISTARA 21.84 de hoy, como variantes de IRCBRUTE; Spam Tedroo y Downloader small KTP.



A las 19 h (mediodia tuyo) descarga dicha nueva version, y espero que con ello habremos acabado con este pupurri de malwares que te habían entrado, seguramente por algun downloader, puede que por el último de hoy...



De todas formas, tras acabar con ellos, mañana lo vuelves a pasar, a ver si te pide nueva muestra de algo, en cuyo caso sería que aun tenemos algo no visible dentro, e iríamos a por ello !



Ya nos contarás...



saludos



ms, 20-10-2010

[Renata]

Buen día Ms, antes de salir a trabajar quise saber de mis bichitos y tus recomendaciones.



Regresaré después de medio día a pasar la nueva versión del ELISTARA.



¡Gracias!

[msc hotline sat]

Renata, ademas de cuidar la salud de tu ordenador, debes cuidar la tuya !!!



Eso de dormir menos de 6 horas (tiempo entre tus dos últimos posts) no es bueno para la salud !!! (aunque yo no predique con el ejemplo :oops: )



Ahora nosotros nos vamos a almorzar, (o comer como aqui llamamos a la comida del mediodia), por la tarde terminamermos lo tuyo, junto con los otros que nos han llegado, que mejor que no los pilles, especialmente uno de Buitre que se las trae !



saludos y hasta luego.



ms, 20-10-2010

[Renata]

[quote="msc hotline sat"]Renata, ademas de cuidar la salud de tu ordenador, debes cuidar la tuya !!!



Eso de dormir menos de 6 horas (tiempo entre tus dos últimos posts) no es bueno para la salud !!! (aunque yo no predique con el ejemplo :oops: )



Ahora nosotros nos vamos a almorzar, (o comer como aqui llamamos a la comida del mediodia), por la tarde terminamermos lo tuyo, junto con los otros que nos han llegado, que mejor que no los pilles, especialmente uno de Buitre que se las trae !



saludos y hasta luego.



ms, 20-10-2010[/quote]

Es verdad duermo poco, las horas de la noche me dan el espacio y la tranquilidad para mis creaciones.



Mientras almuerzas, acá desayunamos :D y nos preparamos para arrancar el trayecto de este nuevo día que amaneció invadido de nubes grises, agua y frío... ayer al contrario el calor era insoportable...



Con gratitud y admiración a tu labor, saludos.



Renata

[msc hotline sat]

Pues que aproveche la comida que Dios no dá !



Luego veré tu privado, que ahora no me da tiempo



saludos



ms, 20-10-2010

[Renata]

Un poco retardada debido a cuestiones de trabajo, ya de regreso he pasado el ELISTARA, te dejo el INFO... mmm... tu dirás que viene en adelante.



Saludos y buen día, la batería se me agota a esta hora que ni para pensar estoy dando.







(20-10-2010 04:18:35 (GMT))

EliStartPage v21.83 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.83

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CFDRIVE32.EXE.Muestra EliStartPage v21.83

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CFDRIVE32.EXE --> Eliminado

C:\Documents and Settings\Administrador\Datos de programa\DATA.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Run] "Windows Data Serivce"="services.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "spoolsv"="C:\WINDOWS\TEMP\spoolsv.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(20-10-2010 04:29:21 (GMT))

EliStartPage v21.83 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\Datos de programa\AUDIOHD..VIR --> Eliminado, Malware.MSIL

C:\Documents and Settings\Administrador\Datos de programa\KWWAFTRPP.VIR --> Eliminado, Malware.Wpwiz

C:\Documents and Settings\Administrador\Datos de programa\LRPRYREOO.VIR --> Eliminado, Malware.Wpwiz

C:\Documents and Settings\Administrador\Datos de programa\QGHUMEAYLNLFDXFIRCVS85.VIR --> Eliminado, Malware.MSIL

C:\Muestras\CFDRIVE32.EXE.MUESTRA ELISTARTPAGE V21.82.VIR --> Eliminado, Trojan.Ircbrute

C:\Muestras\Nueva carpeta\-.VIR --> Eliminado, DownLoader.Small.KTP

C:\Muestras\Nueva carpeta\CFDRIVE32.EXE.MUESTRA ELISTARTPAGE V21.82-2.VIR --> Eliminado, Trojan.Ircbrute

C:\Muestras\Nueva carpeta\LSASS.EXE.MUESTRA ELISTARTPAGE V21.82.VIR --> Eliminado, AutoRun.Arhost.B

C:\Muestras\Nueva carpeta\SVCHOST.EXE.MUESTRA ELISTARTPAGE V21.82.VIR --> Eliminado, Malware.MSIL

C:\Muestras\Nueva carpeta\VSBNTLO.EXE.MUESTRA ELISTARTPAGE V21.82.VIR --> Eliminado, Malware.Vsbntlo

C:\WINDOWS\CFDRIVE32..VIR --> Eliminado, Trojan.Ircbrute

C:\WINDOWS\system\HDKKDLUJIWBY.EXE --> Eliminado, Malware.Wpwiz

C:\WINDOWS\system32\WUDHOST.EXE --> Eliminado, Malware.MSIL

C:\WINDOWS\system32\drivers\CDPRSBNJKDSK.EXE --> Eliminado, Malware.MSIL

C:\WINDOWS\system32\drivers\CYRUJOBVUTFX.EXE --> Eliminado, Malware.MSIL

C:\WINDOWS\system32\drivers\PIVAEEWJSLSD.EXE --> Eliminado, AutoRun.Arhost.B



Nº Total de Directorios: 11721

Nº Total de Ficheros: 92376

Nº de Ficheros Analizados: 34801

Nº de Ficheros Infectados: 16

Nº de Ficheros Limpiados: 16



(20-10-2010 04:31:53 (GMT))

EliStartPage v21.83 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3389

Nº Total de Ficheros: 28037

Nº de Ficheros Analizados: 8070

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(20-10-2010 04:32:44 (GMT))

EliPalevo v1.88 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

[Taskman Desconocido]

Por favor, envienos una muestra del fichero

C:\Muestras\LTZQAI.EXE

a "virus@satinfo.es". Gracias.



(20-10-2010 04:38:20 (GMT))

EliPalevo v1.88 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\JHETXKCO\4[1].exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\W7RN1URC\4[1].exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\ZOFURVYI\4[1].exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\Muestras\Nueva carpeta\syscr.exe.Muestra EliMover v1.1b.vir --> Eliminado, P2P-Worm.Palevo(syscr)

C:\RECYCLER\S-1-5-21-8929905741-5559993088-835592382-0643\syscr.exe.vir --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\04.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\13.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\23.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\33.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\47.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\64.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\73.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\77.exe --> Eliminado, P2P-Worm.Palevo(syscr)

C:\WINDOWS\system32\81.exe --> Eliminado, P2P-Worm.Palevo(syscr)



Nº Total de Directorios: 11721

Nº Total de Ficheros: 92361

Nº de Ficheros Analizados: 1944

Nº de Ficheros Infectados: 14

Nº de Ficheros Limpiados: 14



(20-10-2010 04:40:08 (GMT))

EliPalevo v1.88 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3389

Nº Total de Ficheros: 28037

Nº de Ficheros Analizados: 367

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-10-2010 03:48:08 (GMT))

EliStartPage v21.84 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SMSS.EXE.Muestra EliStartPage v21.84

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SMSS.EXE --> Eliminado

C:\WINDOWS\SERVICES.EXE --> Eliminado DownLoader.Small.KTP

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Eliminado Spambot.Tedroo

Por favor, envienos una muestra del fichero

C:\Muestras\CFDRIVE32.EXE.Muestra EliStartPage v21.84

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CFDRIVE32.EXE --> Eliminado

C:\Documents and Settings\Administrador\Datos de programa\DATA.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Run] "HKLM"="C:\WINDOWS\system32\install\Svchost.exe"

Entrada Eliminada [HKCU\...\Run] "HKCU"="C:\WINDOWS\system32\install\Svchost.exe"

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Run] "Windows Data Serivce"="services.exe"

Entrada Eliminada [HKLM\...\Run] "Windows Update"="C:\WINDOWS\system32\n2m8.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "csrss"="C:\Documents and Settings\Administrador\Datos de programa\csrss.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "Policies"="C:\WINDOWS\system32\install\Svchost.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Policies"="C:\WINDOWS\system32\install\Svchost.exe"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-10-2010 04:13:35 (GMT))

EliStartPage v21.84 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\MEDIA.EXE --> Eliminado, DownLoader.Small.KTP

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\DJMHW232\MEDIA[1].EXE --> Acceso Denegado, DownLoader.Small.KTP (Reiniciar para Completar la Limpieza)

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\ZOFURVYI\MEDIA[1].EXE --> Eliminado, DownLoader.Small.KTP

C:\Muestras\CFDRIVE32.EXE.MUESTRA ELISTARTPAGE V21.83.VIR --> Eliminado, Trojan.Ircbrute

C:\Muestras\MSVMIODE.EXE.MUESTRA ELISTARTPAGE V21.83.VIR --> Eliminado, Spambot.Tedroo

C:\Muestras\SERVICES.EXE.MUESTRA ELITRIIP V6.98.VIR --> Eliminado, DownLoader.Small.KTP

C:\WINDOWS\Temp\046850.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\076909.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\172055.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\272.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\4851263.EXE --> Eliminado, Spambot.Tedroo

C:\WINDOWS\Temp\569231.EXE --> Eliminado, Spambot.Tedroo



Nº Total de Directorios: 11755

Nº Total de Ficheros: 94335

Nº de Ficheros Analizados: 34831

Nº de Ficheros Infectados: 12

Nº de Ficheros Limpiados: 11



(21-10-2010 04:19:40 (GMT))

EliStartPage v21.84 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 3389

Nº Total de Ficheros: 28050

Nº de Ficheros Analizados: 8073

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Muy bien !



Parece que han sido eliminados todos los troyanos...



Ahora solo faltan dos cosas:





Primero te faltan parches, especialmente el MS08-067 contra el Conficker, y sin él nada pueden hacer los antivirus para evitar su entrada por IP.



[b][i]No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]



Lanza un windowsupdate e instala los que detecte que faltan:



Desde el IE -> Herramientas -> Windowsupdate -> Rápida



y tras ello vuelve a pasar el ELISTARA, que no debe encontrar a faltar parches nio detectar ningun otro troyano , a ver si es verdad, o tenemos algo mas escondido...



Y nos cuentas el resultado, gracias



saludos



ms, 21-10-2010

[msc hotline sat]

Pues a la que llego a SATINFO veo que entre los mails hay uno tuyo, y es el primero que he abierto, y lamentablemente eran otras dos muestras que el ELISTARA volvía a pedir, y esto es que tras toda la limpieza, algo las ha generado:



Y recien hechos, pues el primero solo 1 antivirus de entre 36 lo detecta !



El primero que el ELISTARA 21.84 detecta como sospechoso es este SMSS.EXE (que no es el del sistema, claro)



Scanned time : 2010/10/21 09:32:24 (CEST)

Scanner results: 3% Escaner (1/36) encontró infección

File Name : SMSS.EXE.Muestra EliStartPage v21.84

File Size : 1019907 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : 1e89fb163f1330fda6f4ade3a1a2c618

SHA1 : 2fd995dcda9cff305a6a89a525439bb614431143



Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 5.0.0.20 20101021010823 2010-10-21 40.09 -

AhnLab V3 2010.10.19.02 2010.10.19 2010-10-19 40.10 -

AntiVir 8.2.4.84 7.10.13.10 2010-10-21 0.27 TR/Dropper.Gen

Antiy 2.0.18 20101019.5466701 2010-10-19 0.02 -

Arcavir 2010 201010211237 2010-10-21 0.10 -

Authentium 5.1.1 201010201248 2010-10-20 1.42 -

AVAST! 4.7.4 101020-1 2010-10-20 0.05 -

AVG 8.5.850 271.1.1/3209 2010-10-21 0.26 -

BitDefender 7.90123.6365582 7.34356 2010-10-21 4.69 -

ClamAV 0.96.3 12162 2010-10-21 0.09 -

Comodo 4.0 6458 2010-10-21 36.34 -

CP Secure 1.3.0.5 2010.10.20 2010-10-20 0.00 -

Dr.Web 5.0.2.3300 2010.10.21 2010-10-21 9.72 -

F-Prot 4.4.4.56 20101020 2010-10-20 1.48 -

F-Secure 7.02.73807 2010.10.21.02 2010-10-21 0.26 -

Fortinet 4.2.249 12.476 2010-10-20 4.90 -

GData 21.994/21.419 20101020 2010-10-20 40.09 -

ViRobot 20101020 2010.10.20 2010-10-20 40.09 -

Ikarus T3.1.32.15.0 2010.10.21.76983 2010-10-21 5.04 -

JiangMin 13.0.900 2010.10.21 2010-10-21 3.34 -

Kaspersky 5.5.10 2010.10.20 2010-10-20 0.09 -

KingSoft 2009.2.5.15 2010.10.20.18 2010-10-20 40.09 -

McAfee 5400.1158 6141 2010-10-19 2.51 -

Microsoft 1.6301 2010.10.21 2010-10-21 40.10 -

Norman 6.06.07 6.06.00 2010-10-19 8.10 -

Panda 9.05.01 2010.10.17 2010-10-17 40.09 -

Trend Micro 9.120-1004 7.556.05 2010-10-20 0.03 -

Quick Heal 11.00 2010.10.21 2010-10-21 40.19 -

Rising 20.0 22.70.01.08 2010-10-19 40.11 -

Sophos 3.12.1 4.58 2010-10-21 4.24 -

Sunbelt 3.9.2455.2 7103 2010-10-20 26.41 -

Symantec 1.3.0.24 20101020.002 2010-10-20 0.07 -

nProtect 20101019.01 9167579 2010-10-19 40.09 -

The Hacker 6.7.0.1 v00063 2010-10-20 12.09 -

VBA32 3.12.14.1 20101020.0825 2010-10-20 3.74 -

VirusBuster 4.5.11.10 10.129.19/2015758 2010-10-21 2.70 -





Y por otra parte nos envias otra variante del CFDRIVE32.EXE que era un IRCBRUTE en los otros casos:

Actualmente lo detectan solo 6 antivirus:



Scanned time : 2010/10/21 09:46:48 (CEST)

Scanner results: 17% Escaner (6/36) encontró infección

File Name : CFDRIVE32.EXE.Muestra EliStartPage v21.84

File Size : 86016 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : 557e0bd3029211755ac11a4eda2d16ca

SHA1 : 0348efd812fce495f72b12bbd4b9287768edbe81





Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 5.0.0.20 20101021010823 2010-10-21 40.09 -

AhnLab V3 2010.10.19.02 2010.10.19 2010-10-19 40.09 -

AntiVir 8.2.4.84 7.10.13.10 2010-10-21 0.28 TR/SpamBot.Q

Antiy 2.0.18 20101019.5466701 2010-10-19 0.02 -

Arcavir 2010 201010211237 2010-10-21 0.08 -

Authentium 5.1.1 201010201248 2010-10-20 1.33 W32/Swizzor-based!Maximus (Heuristic)

AVAST! 4.7.4 101020-1 2010-10-20 0.01 -

AVG 8.5.850 271.1.1/3209 2010-10-21 0.27 -

BitDefender 7.90123.6365736 7.34357 2010-10-21 5.06 -

ClamAV 0.96.3 12162 2010-10-21 0.03 -

Comodo 4.0 6458 2010-10-21 40.09 -

CP Secure 1.3.0.5 2010.10.20 2010-10-20 0.00 -

Dr.Web 5.0.2.3300 2010.10.21 2010-10-21 9.52 Trojan.Spambot.9106

F-Prot 4.4.4.56 20101020 2010-10-20 1.32 Possible W32/Swizzor-based!Maximus

F-Secure 7.02.73807 2010.10.21.02 2010-10-21 0.20 -

Fortinet 4.2.249 12.476 2010-10-20 40.09 -

GData 21.994/21.419 20101020 2010-10-20 40.08 -

ViRobot 20101020 2010.10.20 2010-10-20 40.09 -

Ikarus T3.1.32.15.0 2010.10.21.76983 2010-10-21 5.08 Virus.Win32.Vitro

JiangMin 13.0.900 2010.10.21 2010-10-21 40.09 -

Kaspersky 5.5.10 2010.10.20 2010-10-20 0.14 -

KingSoft 2009.2.5.15 2010.10.20.18 2010-10-20 40.09 -

McAfee 5400.1158 6141 2010-10-19 2.49 -

Microsoft 1.6301 2010.10.21 2010-10-21 40.09 -

Norman 6.06.07 6.06.00 2010-10-19 8.01 -

Panda 9.05.01 2010.10.17 2010-10-17 40.09 -

Trend Micro 9.120-1004 7.556.05 2010-10-20 0.04 -

Quick Heal 11.00 2010.10.21 2010-10-21 40.09 -

Rising 20.0 22.70.01.08 2010-10-19 40.09 -

Sophos 3.12.1 4.58 2010-10-21 4.19 -

Sunbelt 3.9.2455.2 7103 2010-10-20 40.10 -

Symantec 1.3.0.24 20101020.002 2010-10-20 0.45 -

nProtect 20101019.01 9167579 2010-10-19 40.09 -

The Hacker 6.7.0.1 v00063 2010-10-20 40.09 -

VBA32 3.12.14.1 20101020.0825 2010-10-20 3.30 SScope.Trojan.VB.01040

VirusBuster 4.5.11.10 10.129.19/2015758 2010-10-21 2.48 -





Los pasaremos a monitorizar e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



Pero visto que se generan de nuevo troyanos, seguro que tienes un downloader o un dropper que descarga o genera nuevas variantes, y al no haberlo visto por ahoram posiblemente sea un RootKit, que oculte ficheros, procesos y claves con él relacionadas.



O por falta de parches te están ingresando remotamente nuevos bichos ???



No te olvides de lanzar el windowsupdate indicado, y luego pasa el ELISTARA que tienes, a ver si vuelves a detectar troyanos o ya no.



Si persiste el que te genera otros de los que te vuelve apedir muestra (los de ahora ya estan aparcados en C:\muestras) , entonces posteanos nuevo informe generado tras volver a pasar un SPROCES.



Si no vemos nada, cabría la posibilidad de que fuera un RootKit de MBR, en cuyo caso se debría arrancar con el DD de instalacion, pulsar R para acceder a la Consola de Recuperacion, y desde allí lanzar un FIXMBR, lo cual corregiría el código del Master Boot Record y si allí estuviera l marrano, ello lo eliminaría. Ya veremos.



saludos



ms, 21-10-2010

[Renata]

Ms, buen día.



Sin parche y sin acentos se me hace complicado todo...



Regreso. Voy a darme una vuelta haber si ahora me lo recibe.



¡Gracias por tu dedicación!



Abrazo Renata.

[msc hotline sat]

Los acentos te van y te vienen... Lo habitual con algunos malwares es que salgan dos tildes en lugar del acento, pero esto ya lo corregimos con el ELISTARA. Dinos si realmente no te salen las letras acentuadas o te salen como [b][i]d´´ia[/i][/b] en lugar de [b][i]día[/i][/b]



La familia que mas lo causa es la del Rootkit ZBOT, y se debe a que, donde lo hacen, no utilizan la tabla de carácteres castellana, y como que en inglès no se acentúa, ellos no lo notan, y quienes se infectan de allá no se enteran, solo nosotros, los que usamos acentos, y en parte es mejor, ya que así vemos que hay algun intruso en el ordenador, mientras que ellos no.



Pero que tenemos intrusos en tu ordenador ya lo sabemos, verdad ???



Y ya que abres la posibilidad de que sea un RootKit no conocido, y que se oculte para que no lo veamos, te pido que descargues este [url=http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip]McAfee RootKit Detective[/url] y tras desempaquetarlo lo lances, y nos postees el informe resultante.



Te adelanto que lo que buscamos son ficheros corriendo en proceso oculto, y si los hay, lo indicará al final del informe. En tal caso ya buscaremos cuales son y te diríamos como poder enviarnoslos, porque a simple vista no los verías, claro.



Ahora prueba si volviendo a pasar el ELISTARA, sin necesidad de hacer la EXPLORACION, solo la primera parte de ACCION DIRECTA, tras ello le das a SALIR y mira si los acentos aparecen normalmente.



Y nos vas contando tus progresos al respecto, gracias



saludos



ms, 21-10-2010

[Renata]

Ms, en dias pasados me salian dos tildes seguidas (d´´ia). Ahora simplemente no me salen y los signos y simbolos han regresado a su lugar.

Accion, cancion, respondi, bote... las omite en todo momento...





¡Gracias!, me voy a pasar el Elistara... no encontre el Detective...



Saludos.

[msc hotline sat]

Sí, estaba en ello, y contestando simultaneamente otras cosas...



Te he puesto el link en mi post anterior, pero te lo repito aquí:



http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



Y sí, esto de los acentos huele mucho a RootKit desconocido, a ver si lo pillamos con el "Detective"



Suerte !



saludos



ms, 21-10-2010

[Renata]

Ms, este es el resultado del Detective...





McAfee(R) Rootkit Detective 1.1 scan report

On 21-10-2010 at 05:30:11

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: SSDT-hook

Object-Name: ZwAssignProcessToJobObject

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: \SystemRoot\System32\drivers\spks.sys



Object-Type: SSDT-hook

Object-Name: ZwDebugActiveProcess

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwDuplicateObject

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwEnumerateKey

Object-Path: \SystemRoot\System32\drivers\spks.sys



Object-Type: SSDT-hook

Object-Name: ZwEnumerateValueKey

Object-Path: \SystemRoot\System32\drivers\spks.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenKey

Object-Path: \SystemRoot\System32\drivers\spks.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenThread

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwProtectVirtualMemory

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwQueryKey

Object-Path: \SystemRoot\System32\drivers\spks.sys



Object-Type: SSDT-hook

Object-Name: ZwQueryValueKey

Object-Path: \SystemRoot\System32\drivers\spks.sys



Object-Type: SSDT-hook

Object-Name: ZwSetContextThread

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwSetInformationThread

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwSetSecurityObject

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: \SystemRoot\System32\drivers\spks.sys



Object-Type: SSDT-hook

Object-Name: ZwSuspendProcess

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwSuspendThread

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwTerminateProcess

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwTerminateThread

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: SSDT-hook

Object-Name: ZwWriteVirtualMemory

Object-Path: C:\WINDOWS\system32\drivers\ehdrv.sys



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_POWER

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_READ

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE

Object-Path:



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04v.sys

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000001ontrolSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 00000001ontrolSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: a0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: p0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000001ontrolSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 00000001ontrolSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: a0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Status: Hidden



Object-Type: Registry-value

Object-Name: p0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-key

Object-Name: DataEM\ControlSet002\Services\sptd\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data

Status: Hidden



Object-Type: Registry-key

Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-key

Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Item Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Status: Hidden



Object-Type: Registry-key

Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Value

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Process

Object-Name: hidserv.exe

Pid: 3564

Object-Path: C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path: C:\Windows\Temp\bot.exe

Status: Visible



Object-Type: Process

Object-Name: chrome.exe

Pid: 528

Object-Path: C:\Archivos de programa\Google\Chrome\Application\chrome.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1024

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: clr.exe

Pid: 2388

Object-Path: C:\Windows\Temp\clr.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 652

Object-Path: C:\Documents and Settings\Administrador\Datos de programa\hidserv.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1180

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: JkFDpjyCuVRI.ex

Pid: 3908

Object-Path: C:\Documents and Settings\Administrador\Datos de programa\Microsoft\JkFDpjyCuVRI.exe

Status: Visible



Object-Type: Process

Object-Name: httpd.exe

Pid: 1336

Object-Path: C:\AppServ\Apache2.2\bin\httpd.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: services.exe

Pid: 812

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: wmiprvse.exe

Pid: 3168

Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1092

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 4068

Object-Path: C:\Documents and Settings\Administrador\Datos de programa\Microsoft\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleToolbarNo

Pid: 596

Object-Path: C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 628

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1312

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1252

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 1624

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: ntvdm.exe

Pid: 3268

Object-Path: C:\WINDOWS\system32\ntvdm.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 7608

Object-Path: C:\McafeeRootkitDetective\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: httpd.exe

Pid: 1348

Object-Path: C:\AppServ\Apache2.2\bin\httpd.exe

Status: Visible



Object-Type: Process

Object-Name: ekrn.exe

Pid: 1412

Object-Path: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

Status: Visible



Object-Type: Process

Object-Name: ntvdm.exe

Pid: 3272

Object-Path: C:\WINDOWS\system32\ntvdm.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 824

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: cfdrive32.exe

Pid: 3552

Object-Path: C:\WINDOWS\cfdrive32.exe

Status: Visible



Object-Type: Process

Object-Name: mysqld-nt.exe

Pid: 1724

Object-Path: C:\AppServ\MySQL\bin\mysqld-nt.exe

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 732

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1044

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1540

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: TuneUpUtilities

Pid: 1168

Object-Path: C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

Status: Visible



Object-Type: Process

Object-Name: bot.exe

Pid: 1944

Object-Path: C:\Windows\Temp\bot.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 208

Object-Path: C:\WINDOWS\explorer.exe

Status: Visible



Object-Type: Process

Object-Name: mdm.exe

Pid: 1696

Object-Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 1820

Object-Path: C:\Windows\System\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 768

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: TuneUpUtilities

Pid: 2660

Object-Path: C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe

Status: Visible



Object-Type: Process

Object-Name: alg.exe

Pid: 2880

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible



Scan complete. Hidden registry keys/values: 34

[msc hotline sat]

Pues nuestro gozo en un pozo:



[b][i]Scan complete. Hidden registry keys/values: 34[/i][/b]



no hay ficheros corriendo en procesos ocultos...



Nos queda pensar en el MBR, haz lo indicado, a ver si una vez sobreescrito ya no se generan mas bichos...



Lo verás si el ELISTARA no te pide mas muestras, ojalá !



saludos



ms, 21-10-2010