Relacionado con nodqq.exe (TERMINADO)

[GGG]

Hola.

Acabo de inscribirme en el foro y, aunque he echado un vistazo para asegurarme de que no planteo algo ya planteado, no puedo garantizar que no vaya a ocurrir.

Me suele caer muertecillos de amigos que tienen menos idea que yo de estas cosas y hasta ahora había conseguido salir adelante, a veces con más esfuerzo que otras.

En esta ocasión me han pasado un portátil al que ya hace una semana le limpié manualmente el NODQQ.EXE que el McAfee que tiene instalado ese ordenador no había reconocido como virus, ni el SpyBot como spyware. Me he encontrado con que nuevamente estaba instalado ese programa en la carpeta Configuración Local/Temp del usuario. Lo he vuelto a borrar y aparentemente desaparecen los dos únicos síntomas que había detectado (al arrancar se iba a la carpeta "Mis documentos" y le había desaparecido el icono de la wifi de Broadcom). Pero con la experiencia anterior he decidido ser más cuidadoso y he estado echando un vistazo. Me he encontrado con que en la misma carpeta Temp (que previamente había borrado entrando en modo "a prueba de fallos") aparecen unos archivos de nombre ky2.tmp, ky3.tmp, etc. uno nuevo cada vez que reinicio, todos de 237568 bytes. Además en Datos de programa/Help del usuario aparecen unas DLL (a.dll, d.dll, m.dll, n.dll, o.dll y p.dll) que se regeneran si las borro).

He probado a reiniciar sin arrancar nada más que el boot.ini (utilizando la herramienta msconfig) y sigue ocurriendo lo mismo.



¿Sabéis que puede estar pasando y cómo puedo arreglarlo?



Gracias,



GGG

[msc hotline sat]

Sí, el NODQQ.EXE forma parte de la familia PWS-OnLineGames, de los que hay miles de variantes.



Lo controlamos con el ELISTARA, y si se trata de una no controlada, la aparca a C:\muestras y pide que se nos envie muestra para analizar.



Pruebalo y nos comentas el resultado:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]





saludos



ms, 20-11-2010

[GGG]

Hola.

El ELISTARA no ha encontrado nada (salvo que no tenía instalado el MS08-67, que ya he instalado). Pero todo sigue igual. Cada nuevo reinicio crea un kyN.tmp y recrea las dll (si están borradas).



Saludos,



GGG

[msc hotline sat]

Pues necesitamos que postees el contenido de c:\infosat.txt, como ya pediamos:



"[b][i]Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/i][/b]"



y además descarga el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 21-11-2010

[msc hotline sat]

Por cierto, como sea que dices:



[b][i]"Me he encontrado con que nuevamente estaba instalado ese programa en la carpeta Configuración Local/Temp del usuario"[/i][/b]



Es muy importante que la ejecucion del ELISTARA la hagas entrando con el usuario indicado, bien sea en MODO NORMAL o en MODO SEGURO, pero no como ADMINISTRADOR, sino como el usuario en cuestion.



Ya que decias que el ELISTARA no encontró nada, o bien es porque ya lo habias eliminado anteriormente o porque has arrancado en MODO SEGURO como ADMINISTRADOR cuando lo ejecutastes... lanzalo de nuevo de esta forma y veamos el infosat.txt resultante, gracias.



saludos



ms, 21-11-2010

[GGG]

Hola de nuevo.



Bueno, pues ahí los tienes:



ELISTARA:



(21-11-2010 11:42:06 (GMT))

EliStartPage v22.05 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(21-11-2010 11:47:46 (GMT))

EliStartPage v22.05 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7076

Nº Total de Ficheros: 39325

Nº de Ficheros Analizados: 15052

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



SPROCES:



(21-11-2010 18:24:16 GMT)

SProces v4.9 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: MORIVE-783BE368

Nombre Usuario: morive



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\SHSTAT.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\UDATERUI.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\MCTRAY.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\FRAMEWORKSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\MCSHIELD.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\VSTSKMGR.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\NAPRDMGR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\SHARED\HPQWMIEX.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE

F:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Shell=c:\windows\explorer.exe

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\ImpresoraHP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Archivos de programa\ImpresoraHP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan Enterprise\Scriptcl.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)

O4 - HKCU\..\RunOnce: [2CD82E26922F4BC47C506F539B9D47DDDBB6A23B7E3A426AA8B21AA4217A4DDC] cmd.exe /c start "1" "C:\Documents and Settings\morive\Datos de programa\Moz2B\ky2C.exe" 00 22

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SoundMAX] C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html

O9 - Extra button: Portafolios de HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Archivos de programa\ImpresoraHP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Selección inteligente de HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Archivos de programa\ImpresoraHP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\vstskmgr.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys

O23 - Service: AE Audio Service (AEAudio) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Controlador del adaptador de red Broadcom 802.11 (BCM43XX) - Broadcom Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys

O23 - Service: Broadcom 440x 10/100 Integrated Controller XP Driver (bcm4sbxp) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcm4sbxp.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Lavalys EVEREST Kernel Driver (EverestDriver) - Unknown owner - F:\everestultimate_build_0941_vuwl0qkfjnm\kerneld.wnt

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HBtnKey - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\cpqbttn.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HpqKbFilter Driver (HpqKbFiltr) - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\HpqKbFiltr.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HUAWEI Mobile Connect - USB Smart Card Reader (Huawei) - Huawei Tech. Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewdcsc.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: Huawei DataCard USB Fake (hwusbfake) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbfake.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: ZTE Mass Storage Filter Driver (massfilter) - ZTE Incorporated - C:\WINDOWS\SYSTEM32\DRIVERS\massfilter.sys

O23 - Service: McAfee Inc. (mfeapfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeapfk.sys

O23 - Service: McAfee Inc. (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. (mfehidk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfehidk.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics Incorporated - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - ZTE Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys

O23 - Service: ZTE USB-NDIS miniport (ZTEusbnet) - ZTE Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnet.sys

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - ZTE Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - ZTE Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys

O23 - Service: ZTE VoUSB Port (ZTEusbvoice) - ZTE Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbvoice.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



41 Servicios.

6 de Carga Automatica.

34 de Carga Manual.

1 Deshabilitados.



A ver si hay suerte.



Saludos,



GGG

[GGG]

¡Vaya! Parece que se han cruzado.



Los dos listados anteriores con el usuario normal y entrando con normalidad. Aunque algunas cosas las he hecho como administrador y/o en modo seguro la ejecución del ELISTARA y del SPROCES las he provocado con usuario normal y entrando en el modo normal de Windows.



GGG

[msc hotline sat]

Pues este fichero que se lanza desde un RUNONCE del registro de sistema es muy sospechoso:



C:\Documents and Settings\morive\Datos de programa\Moz2B\ky2C.exe



envianoslo para analizar.





Aparte, vemos que en el inicio (carpeta ...\menú inicio\programas\inicio\) lanzas un Desktop.ini , lo cual no es normal. Editalo, mira lo que contiene y nos lo comentas, por si fuera significativo.

Lo normal sería algo como:



[b][i][.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787[/i][/b]



pero no es lanzado, solo es propio de cada carpeta...



Para el envio de la muestra:





>[b]ENVIO DE MUESTRAS Y ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 22-11-2010

[msc hotline sat]

Y se me quedaba en el tintero ... ! La familia del ONLINEGAMES es propaga por pendrive, asi que es muy posible que el problema lo tenga en pendrives infectados, que le regeneran la infección.



Recuerde nuestro consejo de vacunar ordenadores y pendrives con el ELIPEN para evitar la propagacion de los cientos de miles de malwares que se propagan por dicho medio:



http://www.satinfo.es/zonavirus/flecha.gif[/img]

Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 22-11-2010

[GGG]

Hola.

Os cuento como me fue ayer.

Para empezar por lo más sencillo, esta es la información de los dos desktop.ini que encontré en el PC:



C:\Archivos de programa\iMeshMediabarTb\chrome\content\desktop.ini

[LocalizedFileNames]

Documents.lnk=@shell32.dll,-21770



C:\Archivos de programa\Microsoft Office\OFFICE11\3082\DataServices

[.ShellClassInfo]

IconFile=folder.ico

IconIndex=0

ConfirmFileOp=0



Creo que por ese lado no debe haber mucho problema.



En cuanto al kyC.exe lo borré y todo parecía ir bien hasta que se me ocurrió abrir el Internet Explorer versión 8. Al abrirlo, además de la solapa normal con página en blanco (según estaba configurada), se abrieron espontáneamente dos solapas sobre la dirección http://www.freeav-update.com/com/i.php y coincidiendo con ello (tenía el regedit abierto sobre la HKCU RunOnce) se generaban dos nuevas entradas del tipo de la que hicistéis ver:

cmd.exe /c start "1" "C:\Documents and Settings\morive\Datos de programa\Moz2B\ky2C.exe" 00 22

(las carpetas MozXX y el archivo kyXX.exe variaban de nombre).



Me harté de hacer pruebas de todo tipo sin éxito. Al final desinstalé el IE8 y con el IE6 y el Mozilla 3.62 desapareció el problema.



Con todo el curro que me pegué al final se me olvidó ejecutar el ELISTARA y el SPROCES. Si tenéis interés veré si puedo hacerlo esta tarde o mañana (le he devuelto el portátil pero vive cerca).



Adjunto el ky2C.exe



Gracias y saludos,



GGG

[msc hotline sat]

Pasada mas de una hora desde que hayas dicho que enviabas el fichero, no se ha recibido nada con tu nick...



Rpite el envio, recordando hacerlo como se indica, para que no sea interceptado por los srevidores de internet:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 23-11-2010

[GGG]

Hola.

Tienes toda la razón. No me había leído el procedimiento en parte porque pensaba que el carácter de "muestra" era algo que decidía el ELISTARA y al no haber calificado como muestra ningún archivo no pensé que la muestra era cualquier cosa que hubiera que mandar. Ya lo he leído y he creado el zip con la clave indicada. Por cierto que, además el archivo sospechoso (ky2C.exe), he incluido un pantallazo de la página puñetera, en formato jpg.

Por cierto que al probar si la clave funcionaba como es un ejecutable se ejecutó en mi ordenador y me infectó parcialmente (tal vez porque yo sigo con el IE6 y no con el IE8). He tenido que arrancar restaurando desde un punto anterior porque me iba espantosamente lento y aparecían una cantidad de procesos extraños (por ejemplo un notepad que no había arrancado). Pero tras la restauración parece que está todo normalizado.

Espero vuestras noticias.

Saludos,

GGG

[lucl]

Bueno si enviaste la muestra antes de la restauracion no habra problema en identificar por fin que te pasaba. Estate atento mañana al post que Msc te dira algo al respecto, saludos.

[msc hotline sat]

Efectivamente, como muy bien indica lucl, tras recibir la muestra del malware la monitorizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



De todas formas parece que tras restaurar sistema a un punto anterior, ya se solucionó el problema, lo celebramos!



Saludos



ms, 24-11-2010

[msc hotline sat]

Recibida la muestra enviada, ha resultado ser una variante del troyano SCAR que pasamos a controlar con la version 22.08 del ELISTARA de hoy.



A partir de las 19 horas estará disponible en nuestra web, decsragala y pruebala para eliminar restos de claves y demas historias que hubiera dejado este malware.



Tras ello, posteanos el contenido de C:\infosat.txt y con ello, si no indicas lo contrariuo, daremos por solucionado el Tema y procederemos a cerrarlo



saludos



ms, 24-11-2010

[msc hotline sat]

PUES SORPRESA !



En la monitorizacion del fichero ky2C.exe ha resultado que aparte del SCAR que hemos indicado, está infectado por un RAMNIT, del que hemos hablado en otro Tema hoy y además editado noticia al respecto en http://www.zonavirus.com/noticias/2010/aviso-del-primer-dropper-infector-que-se-propaga-por-pendrive-watermark.asp



Tal como deciamos vacuna con el ELIPEN ordenador y pendrives, y aparte, esta noche (>19h) descarga el ELISTARA 22.08 y pruebalo, y recuerda que habrás de pulirlo con un antivirus y rematar DLL y aplicaciones que hayan sido eliminadas.



aunque si has restaurado a un punto anterior a la infeccion, mucho mejor, claro



Pero vigila con los pendrives, que donde ha habido, siempre queda, que no se te reproduzca, recuerda lo del ELIPEN



saludos



ms, 24-11-2010

[GGG]

Hola.

El ordenador en el que hice la restauración no es el que tenía el problema original, al que apliqué el ELISTARA y el SPROCES sino el mío de casa, desde el que os mandé la muestra. Lo que pasó es que se me infectó al ejecutar involuntariamente ese archivo.

La nueva versión del ELISTARA ¿la puedo descargar con la clave de SMS anterior o tengo que volver a pagar?



Saludos,



GGG

[msc hotline sat]

Eso no depende de nosotros, sino del servidor de descargas.



Creo que has de volver a enviar un SMS



Pero espera a que ADMIN valide la 22.08, miro si ya está y te informo



No, todavía no está subida, debe estar en ello



En una hora seguramente ya podrás descargarla, si quieres cuando llegue a casa lo miro y te aviso.



Ahora todavía estoy en el trabajo, aunque ya esté cerrado y menos 4 :( , todos los demas ya se han ido.



saludos



ms, 24-11-2010

[GGG]

Hola.

Pues creo que deberíais enviarla gratuitamente al que os facilitó la información que permite modificar la versión. No en vano se os envía una dirección de correo cuando se envía la muestra. No debería haber más de una descarga por problema.

Si no te importa, haz llegar a quien proceda este comentario.

Saludos,

GGG

[msc hotline sat]

Las utilidades de SATINFO se ofrecen en este foro en concepto de evaluación bajo condiciones convenidas.



Me complace informar que la versión 22.08 del ELISTARA, ya está disponible en el servidor de descargas de zonavirus.



saludos



ms, 22-11-2010

[GGG]

Hola.



¿Consideras que decir "Las utilidades de SATINFO se ofrecen en este foro en concepto de evaluación bajo condiciones convenidas" responde de alguna manera a mi comentario? ¿Qué quieren decir las "condiciones convenidas"? Incluso aunque fueran realmente "convenidas" y no impuestas, ¿hay algo que impida cambiarlas si el cambio es razonable?

Tal como yo veo este foro, en esas "condiciones convenidas", el beneficio vuestro es evidente. Utilizáis la información que se os facilita para mejorar vuestros productos (y, supongo, que también se la "venderéis" a algunos fabricantes de sw antivirus) y hacerlos más apetecibles a la gente que acude en busca de ayuda, no gratuita por cierto. Creo que facilitar gratuitamente a los informadores/víctimas de nuevos virus/spywares o variantes de los mismos la versión del producto (cuando la haya) que habéis conseguido con esa información y que hace vuestros productos más apetecibles y en actualización permanente sería un detalle elegante y no disminuiría de ninguna forma apreciable el rendimiento de vuestro negocio.

Pero bueno, allá cada cual.

Fue un placer.



Saludos,



GGG

[msc hotline sat]

Sin duda no comulgas con el espiritu de este foro, que es ofrecer a los foreros la posibilidad de ayuda con la mutua colaboracion, y asi se convino con el director de zonavirus, y no las "vendemos" a ningun fabricante de antivirus, sino que las enviamos a McAfee para que puedan estudiar como eliminarlas con su antivirus, asi como las subimos a VirusTotal para que las envien a los demas fabricantes, con los que no tenemos relacion directa. Todo en pro de luchar contra los malwares en la justa medida de las posibilidades de cada uno.



Pero nadie te obliga ni a probar nuestras utilidades, ni a enviar muestras, ni siquiera a leer este foro, especialmente si no te convence nuestra forma de actuar.



Y dando por terminado este Tema, procedemos a cerrarlo



saludos



ms, 25-11-2010