archivo video_tarjeta.bat (SOLUCIONADO)

[rigel2024]

muy buenos dias yo de nuevo por aqui , resulta que ayer me llego un correo el cual era de Postalesdeamor.cl algo asi , el tema es que lo baje pensando que lo habia enviado mi polola .lo raro que el archivo que me descargo tenia la extencion .(com.exe)...estupidamente seleccione el archivo y no paso nada , pero era obvio que algo andaba mal , corri el elistara y el elipalevo ...elistara no detecto nada , pero el elipalevo se cerro solo ...reinicie para ver si habia ocurrido algo malo , al inicio de windows me salio un aviso que si keria ejecutar un archivo llamado Video_tarjeta.bat ..obviamente puse k no ..luego me di cuenta k el archivo estaba en la carpeta c:/windows , bueno lo elimine de ese lugar por seguridad e hice una muestra que la enviare a continuacion , ojala tengan un elistara para controlar mi pc si ha ocurrido algun error , pero al parecer no , aun asi kiero asegurarme , esperando su ayuda me despido

ATTE

Rigel2024

[msc hotline sat]

Pus ya que los ELI*.* aun no conocen este malware, envianos este fichero que dices, el video_tarjeta.bat, pero si aun lko tienes, tambien el que te llegó en el mail, este "archivo que me descargo tenia la extencion .(com.exe)...", y además, lanza el SPROCES y nos posteas el informe resultante:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 11-11-2010

[msc hotline sat]

Recibida la muestra del fichero, no es ningun .BAT sino todo un .EXE !!!



el preanalisis detecta que es un malware que pasaremos a controlar en proximas versiones de nuestras utilidades, de lo cual informaremos_





Scanned time : 2010/11/11 10:55:15 (CET)

Scanner results: 36% Escaner (13/36) encontró infección

File Name : video_tarjeta.bat

File Size : 66560 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : a323adbcf4353f102600b5ac6c85ef62

SHA1 : 3a216989f13a8246201b1504e6b05dafde4e3d7c



Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 5.0.0.20 20101111020843 2010-11-11 0.37 -

AhnLab V3 2010.11.11.01 2010.11.11 2010-11-11 1.50 -

AntiVir 8.2.4.92 7.10.13.206 2010-11-11 0.27 -

Antiy 2.0.18 20101106.5534523 2010-11-06 0.02 -

Arcavir 2010 201011111608 2010-11-11 0.08 -

Authentium 5.1.1 201011101838 2010-11-10 1.61 -

AVAST! 4.7.4 101110-1 2010-11-10 0.01 Win32:Malware-gen

AVG 8.5.850 271.1.1/3249 2010-11-11 0.50 -

BitDefender 7.90123.6221862 7.34628 2010-11-11 5.92 Gen:Trojan.Heur.PT.eGW@bmgly8k

ClamAV 0.96.3 12232 2010-11-11 0.02 Trojan.Dropper-21438

Comodo 4.0 6664 2010-11-09 2.52 Heur.Packed.Unknown

CP Secure 1.3.0.5 2010.11.11 2010-11-11 0.06 Troj.Dropper.W32.Small.auj

Dr.Web 5.0.2.3300 2010.11.11 2010-11-11 10.21 -

F-Prot 4.4.4.56 20101110 2010-11-10 1.45 -

F-Secure 7.02.73807 2010.11.11.04 2010-11-11 0.06 Trojan:W32/Delfsnif.gen!A [FSE]

Fortinet 4.2.249 12.554 2010-11-10 0.77 W32/Delfroper.AC!tr

GData 21.1079/21.465 20101111 2010-11-11 22.91 Win32:Malware-gen [Engine:B]

ViRobot 20101110 2010.11.10 2010-11-10 0.94 -

Ikarus T3.1.32.15.0 2010.11.11.77136 2010-11-11 5.21 -

JiangMin 13.0.900 2010.11.10 2010-11-10 9.60 -

Kaspersky 5.5.10 2010.11.10 2010-11-10 0.19 -

KingSoft 2009.2.5.15 2010.11.11.7 2010-11-11 1.00 -

McAfee 5400.1158 6163 2010-11-10 26.92 -

Microsoft 1.6301 2010.11.11 2010-11-11 4.86 Trojan:Win32/Delfsnif.DX

Norman 6.06.10 6.06.00 2010-11-10 10.03 W32/Suspicious_Gen.KMNZ

Panda 9.05.01 2010.11.06 2010-11-06 3.47 Trj/KillAV.NH

Trend Micro 9.120-1004 7.612.06 2010-11-10 0.04 -

Quick Heal 11.00 2010.11.11 2010-11-11 3.52 -

Rising 20.0 22.73.02.08 2010-11-10 4.63 Trojan.Win32.Generic.522B8EA6

Sophos 3.13.1 4.59 2010-11-11 3.94 -

Sunbelt 3.9.2457.2 7277 2010-11-10 40.09 -

Symantec 1.3.0.24 20101110.002 2010-11-10 0.26 -

nProtect 20101108.01 9066740 2010-11-08 11.54 Trojan/W32.Small.66560

The Hacker 6.7.0.1 v00081 2010-11-10 0.50 -

VBA32 3.12.14.1 20101109.1249 2010-11-09 6.59 -

VirusBuster 4.5.11.10 10.130.16/1992536 2010-11-10 3.35 -



De momento añade .VIR a la extension de dicho fichero para que no se pueda ejecutar y tras reiniciar debe quedar aparcado el problema.



Informanos en caso contrario, y en tal caso lanza el SPROCES y nos posteas el informe resultante, como deciamos en el post anterior, gracias



saludos



ms, 11-11-2010

[msc hotline sat]

En cualquier caso pasamos a implementar el control y eliminación de este Video_tarjeta.BAT a partir del ELISTARA de hoy 21.99, que estará disponible a partir de las 19 horas



saludos



ms, 11-11-2010

[rigel2024]

buenas tardes , te comento que el archivo lo elimine manualmente (video_tarjeta.bat)..no se si ha dejado alguna infeccion pero parece que no , luego correre el elistara para controlar.

te enviare el el text del sproces.exe

ademas enviare el archivo del correo infectado , el de extencion .com.exe

y tambien enviare 3 paginas que venian en el correo para ver si las pueden analisar

ATTE

Rigel2024



a continuacion listado del sproces



(11-11-2010 15:30:07 GMT)

SProces v4.8 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: rigel2024

Nombre Usuario: Rodolfo



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\SCHED.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVGNT.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\WINDOWS\HFFEXT\HFFSRV.EXE

C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE

C:\ARCHIVOS DE PROGRAMA\TASKSWITCHXP\TASKSWITCHXP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\HARDCOPY\HARDCOPY.EXE................................(para fotografiar el escritorio por si tienen dudas)

C:\ARCHIVOS DE PROGRAMA\BANDA ANCHA MOVIL\BANDA ANCHA MOVIL.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQBAM08.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGERDISCOVERY 2\MESSENGERDISCOVERY 2.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQGPC01.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: dymanet - {4d3c886b-bd88-d54c-c67b-4be17d9691bc} - C:\WINDOWS\system32\ac8ecd6e-d87f-2843-95ee-b3601e9c33dd.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [HFFSRV] c:\windows\hffext\hffsrv.exe

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [winlong.exe] C:\WINDOWS\video_tarjeta.bat

O4 - Startup: Hardcopy.LNK = C:\Archivos de programa\Hardcopy\hardcopy.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O10 - Broken Internet access because of LSP provider 'C:\WINDOWS\SYSTEM32\Hex: 2553797374656D526F6F...' missing

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1287328776515

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8F61500B-44DF-4CFD-80F1-7CF5C37CE3E8}: NameServer = 200.63.56.4 200.63.56.3

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL

WinSys\Drivers\CHDAud.sys (de 625664 bytes) () Conexant Systems Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\HSF_CNXT.sys (de 731520 bytes) () Conexant Systems, Inc.

WinSys\Drivers\HSF_DPV.sys (de 989696 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mod7700.sys (de 872192 bytes) () DiBcom SA

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 717296 bytes) ()

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Aspi32 - Adaptec - C:\WINDOWS\SYSTEM32\drivers\aspi32.sys

O23 - Service: avgntflt - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avgntflt.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys

O23 - Service: A4Tech HID-compliant Mouse Driver (Amusbprt) - A4Tech Co.,Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Amusbprt.sys

O23 - Service: Controlador del adaptador de red Broadcom 802.11 (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys

O23 - Service: USB 2861 Video (DCamUSBEMPIA) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emDevice.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: eabfiltr - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\eabfiltr.sys

O23 - Service: eabusb - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\eabusb.sys

O23 - Service: USB Device Lower Filter (FiltUSBEMPIA) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emFilter.sys

O23 - Service: HBtnKey - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\cpqbttn.sys

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\CHDAud.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWAZL.sys

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DPV.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: USB Still Image Capture Device (ScanUSBEMPIA) - eMPIA Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\emScan.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SRS Labs Audio Sandbox (WDM) (SRS_SSCFilter) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\srs_sscfilter_i386.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys (file missing)

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys (file missing)

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



49 Servicios.

7 de Carga Automatica.

41 de Carga Manual.

1 Deshabilitados.





.......Paginas que venian en el correo para analisis......



http://www.SiempreGente.com - comparte fotos y haz nuevos amigos

http://www.MejorAmor.com - Para solteros Hispanos buscando a su mejor amor

http://www.SiempreMusica.com - ¿Eres Artista? Obten tu propio tocador de música



y enviare muestras del archivo (Ver_Postalesdelamor.com.exe)

[msc hotline sat]

AZntes de analizar los informes te aviso que se ha recibido nueva muestra tuya para analizar, "ver_postalesdeamor.com.exe" ha resultadio ser identico al Video_tarjeta.bat que ya hemos pasado a implementar en la version de hoy 21.99 del ELISTARA



Y paso a ver los logs:



pues hay estos ficheros sospechosos:



C:\WINDOWS\system32\ac8ecd6e-d87f-2843-95ee-b3601e9c33dd.dll



c:\ARCHIVOS DE PROGRAMA\BANDA ANCHA MOVIL\BANDA ANCHA MOVIL.EXE



C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE



envianos los para analizar e informaremos del resultado del analisis



saludos



ms, 11-11-2010

[rigel2024]

con respecto al fichero

C:\WINDOWS\system32\ac8ecd6e-d87f-2843-95ee-b3601e9c33dd.dll (no lo conozco kisas este infectado o sea del mismo virus)



c:\ARCHIVOS DE PROGRAMA\BANDA ANCHA MOVIL\BANDA ANCHA MOVIL.EXE (es el internet movil que tengo de la empresa entel )



C:\ARCHIVOS DE PROGRAMA\POWERISO\PWRISOVM.EXE (programa para montar unidades virtuales en mi pc)

los dos ultimos no creo que sean sospechosos , de todas maneras lo controlare con elistara cuando este disponible la ultima version ..hasta ahora esos dos ultimos no me han traido problema

con respecto al fichero dll no sabria decir si es de algun programa o no pero igual enviare muestras de los 3

ATTE

Rigel2024

[msc hotline sat]

Bueno, de momento los demas ya los controlamos con el ELISTARA 21.99 que en breve vamos a subir a la web ( media hora)



LO PRUEBAS Y NOS POSTEAS EL INFOSAT.TXT ESULTANTE, GRACIAS



saludos



ms, 11-11-2010

[rigel2024]

a continuacion publico el infosat



(11-11-2010 18:11:55 (GMT))

EliStartPage v21.99 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "winlong.exe"="C:\WINDOWS\video_tarjeta.bat"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2010 18:22:33 (GMT))

EliStartPage v21.99 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7566

Nº Total de Ficheros: 138714

Nº de Ficheros Analizados: 16815

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues como que el fichero ya no está [b][i]"elimine manualmente (video_tarjeta.bat)"[/i][/b], solo se ha tenido que eliminar la clave de carga:



[b][i]Entrada Eliminada [HKLM\...\Run] "winlong.exe"="C:\WINDOWS\video_tarjeta.bat"[/i][/b]



y ya con esto damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 12-11-2019