Win32/Olmarik.ADA.

[geoda]

Mi antivirus detecta El sector MBR del disco físico 1 contiene (Troyano) Win32/Olmarik.ADA. y no le elimina esta lenta mi internet
(11-12-2010 00:51:58 (GMT))
EliStartPage v22.17 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Diciembre del 2010)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	(11-12-2010  00:52:09 (GMT))
EliStartPage v22.17  (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Diciembre del 2010)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "E:\"
E:\12GN6ID2.EXE --> Eliminado, PWS-OnLineGames.Nodqq
E:\AUTORUN.EXE --> Eliminado, AutoRun.DA
E:\GGB6W.EXE --> Eliminado, PWS-OnLineGames.Dsoqq
E:\LPL.EXE --> Eliminado, PWS-OnLineGames.Apiqq
E:\R3FHR.EXE --> Eliminado, PWS-OnLineGames.Nodqq

Nº Total de Directorios:   169
Nº Total de Ficheros:      775
Nº de Ficheros Analizados: 165
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados:  5

(11-12-2010 01:51:19 GMT)
SProces v4.9 (c)2010 S.G.H. / Satinfo S.L.
-------------------------------------------

Código: Seleccionar todo

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.11) 0
Nombre Equipo:  USER_33
Nombre Usuario: Administrador

Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\ARCHIVOS DE PROGRAMA\FARONICS\DEEP FREEZE\INSTALL C-0\DF5SERV.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\SCHEDULE2\SCHEDUL2.EXE
C:\ARCHIVOS DE PROGRAMA\ADOBE\ADOBE VERSION CUE CS2\BIN\VERSIONCUECS2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE
C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE
C:\ARCHIVOS DE PROGRAMA\RAPPYDA\RAPPYDA.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE
C:\ARCHIVOS DE PROGRAMA\ADOBE\ADOBE ACROBAT 7.0\DISTILLR\ACROTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\RAPPYDA\RAPPYDASRV.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\ARCHIVOS DE PROGRAMA\ADOBE\ADOBE VERSION CUE CS2\CONTROLPANEL\VERSIONCUECS2TRAY.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\FARONICS\DEEP FREEZE\INSTALL C-0\_$DF\FRZSTATE2K.EXE
C:\ARCHIVOS DE PROGRAMA\ADOBE\ADOBE VERSION CUE CS2\DATA\DATABASE\BIN\MYSQLD-NT.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IDMAN.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IEMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\WINDOWS\SYSTEM32\ESCLAVO.EXE
C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
E:\MISDOCUMENTOS\DOWNLOADS\PROGRAMS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IDMan] C:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot
O4 - HKLM\..\Run: [step.com.ve] C:\Archivos de programa\Rappyda\Rappyda.exe
O4 - HKLM\..\Run: [RPPService] C:\Archivos de programa\Rappyda\RappydaSRV.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Archivos de programa\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [UpdateReminder] C:\Archivos de programa\Eset\UpdateReminder.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = C:\WINDOWS\Installer\{AC76BA86-1034-4700-7760-100000000002}\SC_Acrobat.exe
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Descargar con IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Descargar con IDM el contenido de video FLV - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Descargar con IDM todos los enlaces  - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL
O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL
O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL
O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL
O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL
O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63543991-39D6-4B28-AA87-575A705B25DD}: NameServer = 200.87.100.10,200.87.100.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5AC45B2-A350-4765-8CB6-A20739B2B223}: NameServer = 200.87.100.10,200.87.100.40
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O20 - Winlogon Notify: DFLOGON - LOGONDLL.DLL
O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------
WinSys\Drivers\amon.sys (de 502368 bytes) () Eset 
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\mrxsmb.sys (de 451456 bytes) () Microsoft Corporation
WinSys\Drivers\ntfs.sys (de 574592 bytes) () Microsoft Corporation
WinSys\Drivers\sptd.sys (de 685816 bytes) () 

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Archivos de programa\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: AMON - Eset  - C:\WINDOWS\system32\drivers\amon.sys
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: DF5Serv - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Acronis True Image FS Filter (tifsfilter) - Acronis - C:\WINDOWS\SYSTEM32\DRIVERS\tifsfilt.sys

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-Media WDM Audio Interface (cmuda) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys (file missing)
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek  RTL8139(A/B/C) (rtl8139) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS (file missing)
O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation                            - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys
O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

 23 Servicios.
 11 de Carga Automatica.
 11 de Carga Manual.
  1 Deshabilitados.

[geoda]

trate de usar el CopyMBR 1.0 y me dice que esta des actualizado

[geoda]

Amigos le mando a una muestra respecto al tema :lol:

[msc hotline sat]

Subida version actualizada del COPYMBR.EXE

Descargala, pruebala y nos envias el fichero resultante. gracias

Cuando hayamos recibido las muestras, las analizaremos e informaremos

saludos
ms, 14-12-2010

[msc hotline sat]

Recibidos ficheros para analizar, resultan ser nuevas variantes de AUTORUN.VB.ML cuyo control se implementa a partir de la v22.20 del ELISTARA de hoy, que estará disponible en esta web a partir de las 19 h



Este virus se propaga a traves de pendrive, por lo que es muy importante vacunar ordenadores y pendrives con el ELIPEN.



saludos



ms, 15-12-2010

[geoda]

El sector MBR del disco físico 1 contiene (Troyano) Win32/Olmarik.ADA sigue detectabdo amigo e la pc y en otra que tengo
quiesiera si pueden ver mi informe del SProces v4.9 especialmente este archivo
C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE para que sirve ya que ocupa 90.456 kb

(16-12-2010 04:51:48 GMT)
SProces v4.9 (c)2010 S.G.H. / Satinfo S.L.
-------------------------------------------

Código: Seleccionar todo

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Nombre Equipo:  TROCK-PC
Nombre Usuario: TrockRC1

Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\ARCHIVOS DE PROGRAMA\ZENTIMO\ZENTIMOSERVICE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE
C:\ARCHIVOS DE PROGRAMA\IOBIT\IOBIT SECURITY 360\IS360SRV.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\ARCHIVOS DE PROGRAMA\USB DISK SECURITY\USBGUARD.EXE
C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD10\PDVD10SERV.EXE
C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\BRS.EXE
C:\ARCHIVOS DE PROGRAMA\IOBIT\IOBIT SECURITY 360\IS360TRAY.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\ZENTIMO\ZENTIMO.EXE
C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DTLITE.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IDMAN.EXE
C:\ARCHIVOS DE PROGRAMA\POWER TRANSLATOR 14\LOGOMEDIA TRANSLATEDOTNET SERVER.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\ARCHIVOS DE PROGRAMA\PDF SUITE 2010\CONVERSIONSERVICE.EXE
C:\WINDOWS\INSTALLER\MSI16.TMP
C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET DOWNLOAD MANAGER\IEMONITOR.EXE
C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\CCLEANER\CCLEANER.EXE
C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE
F:\INSTALADORES 2010\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: Taskman=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: PDF Suite Helper - {1AD61D5B-58A3-4592-9B34-DC84688FF805} - C:\Archivos de programa\PDF Suite 2010\PDFIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~4\Office14\GROOVEEX.DLL
O2 - BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~4\Office14\URLREDIR.DLL
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: PDF Suite Toolbar - {261F6A8B-7AAF-4BF5-8552-6610F4D67819} - C:\Archivos de programa\PDF Suite 2010\PDFIEPlugin.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator 14\Applications\LEC IE Translation Extension.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Zentimo xStorage Manager] C:\Archivos de programa\Zentimo\Zentimo.exe /startup
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [IDMan] C:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AutoKMS] C:\WINDOWS\AutoKMS.exe
O4 - HKLM\..\Run: [USB Antivirus] C:\Archivos de programa\USB Disk Security\USBGuard.exe
O4 - HKLM\..\Run: [RemoteControl10] "C:\Archivos de programa\CyberLink\PowerDVD10\PDVD10Serv.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Archivos de programa\Cyberlink\Shared files\brs.exe
O4 - HKLM\..\Run: [IObit Security 360] "C:\Archivos de programa\IObit\IObit Security 360\IS360tray.exe" /autostart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O8 - Extra context menu item: &Enviar a OneNote - res://C:\ARCHIV~1\MICROS~4\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Descargar con IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Descargar con IDM el contenido de video FLV - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Descargar con IDM todos los enlaces  - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office14\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NWPROVAU.DLL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} (Java Plug-in 1.6.0_23) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: RAILNOTIFICATION - WINLOGONNOTIFICATION.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------
ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} -  - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll
ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\ARCHIV~1\MICROS~4\Office14\GROOVEEX.DLL
WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software
WinSys\Drivers\mrxsmb.sys (de 457216 bytes) () Microsoft Corporation
WinSys\Drivers\ntfs.sys (de 576512 bytes) () Microsoft Corporation
WinSys\Drivers\sptd.sys (de 436792 bytes) () 
WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Quinnware CDDA Driver (by InfinaDyne) (CDRPDACC) - Arrowkey - C:\Archivos de programa\Quintessential Media Player\cdrpdacc.sys
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: IS360service - IObit - C:\Archivos de programa\IObit\IObit Security 360\IS360srv.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator 14\LogoMedia TranslateDotNet Server.exe
O23 - Service: NetGroup Packet Filter Driver (NPF) - CACE Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\npf.sys
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDF Suite 2010 Service - Interactive Brands Inc. - C:\Archivos de programa\PDF Suite 2010\ConversionService.exe
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSI16.tmp
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TOSHIBA UDF2.5 Reader File System Driver (thdudf) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\thdudf.sys
O23 - Service: Zentimo Assistant (ZentimoService) - Unknown owner - C:\Archivos de programa\Zentimo\ZentimoService.exe
O23 - Service: Power Control [2010/12/02 11:08:14] ({1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}) - CyberLink Corp. - C:\Archivos de programa\CyberLink\PowerDVD10\NavFilter\000.fcl

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys
O23 - Service: Ambfilt - Creative - C:\WINDOWS\SYSTEM32\drivers\Ambfilt.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys
O23 - Service: Huawei DataCard USB PNP Device (hwusbdev) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbdev.sys
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Monfilt - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\Monfilt.sys
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation                            - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

 33 Servicios.
 15 de Carga Automatica.
 17 de Carga Manual.
  1 Deshabilitados.

[msc hotline sat]

Dices "El sector MBR del disco físico 1 contiene (Troyano) Win32/Olmarik.ADA"

Pues muy bien !, envianos el informe generado por el COPYMBR.EXE para poder analizarlo y pasarlo a controlar.

Aparte, si quieres que analicemos el fichero que dices: C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE envíanoslo para analizar

>ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos

saludos
ms, 16-12-2010


ANEXO: De todas formas, en http://www.alegsa.com.ar/Proceso/search ... st.exe.php se puede ver, El proceso y archivo SearchProtocolHost.exe es el Microsoft Windows Search Protocol Host, un proceso de Windows. A veces, este proceso está ejecutado dos veces.

Este proceso suele ubicarse en: C:\WINDOWS\system32\SearchProtocolHost.exe

Suele traer problemas, ocupar mucha memoria y procesador, así que puede desactivarse desde:
Inicio > Ejecutar > escribir "services.msc" y aceptar. Buscar en la lista Windows Search ó Windows Search Protocol Host ó Windows Desktop Search, hacer clic derecho sobre el servicio y Propiedades. Allí se puede desactivar del inicio.

ms.
___________

Ficheros sospechosos en log del SPROCES:
C:\ARCHIVOS DE PROGRAMA\ZENTIMO\ZENTIMOSERVICE.EXE
C:\WINDOWS\AutoKMS.exe
C:\Archivos de programa\Quintessential Media Player\cdrpdacc.sys
C:\WINDOWS\SYSTEM32\drivers\npf.sys

envíanoslos para analizar e informaremos del resultado del analisis y procederemos en consecuencia

ms, 16-12-2010

[geoda]

PRimeramente ya made 2 archivos con las muestras

1 archivo con el nombre MBR001.HD1

el otro con muestras6.rar

otra cosa cuando copio imagenes de internet hacia word o powerpoint me sale siempre esto 5b415a0a74765006f122f979f487f751 y la imagen

[msc hotline sat]

Posiblemente por el hecho de que se había arrancado desde el disco duro, no se copió realmente dicho sector en el MBR001.HD1 , asi que demos un voto de confianza al que detectó este Win32/Olmarik en dicho sector y procedamos a eliminarlo:



Arranca con el CD de instalaciín de windows, pulsa R para entrar en Consola de Recuperaicón, y desde allí ejecuta FIXMBR <enter>



Tras ello mira si persiste lo de la cadena 5b415a0a74765006f122f979f487f751 o no, para proceder en consecuecia.



saludos



ms, 18-12-2010

[msc hotline sat]

Pues felicidades ! En el primer MBR001.HD1 que nos has enviado, está el RootKit ALUREON:

Virus:Win32/Alureon.A (?)

Encyclopedia entry
Updated: Nov 10, 2010 | Published: Dec 02, 2009

Aliases
Win32/Olmarik!generic (CA) Rootkit.Win32.TDSS.u (Kaspersky)
W32/TDSS.drv.gen4.A (Norman)
Mal/TDSSPack-V (Sophos)

Alert Level (?)
Severe

Antimalware protection details
Microsoft recommends that you download the latest definitions to get protected.
Detection last updated:
Definition: 1.79.77.0
Released: Mar 17, 2010 Detection initially created:
Definition: 1.69.77.0
Released: Oct 23, 2009


--------------------------------------------------------------------------------

On this page
Summary|Symptoms|Technical Information|Prevention|Recovery




--------------------------------------------------------------------------------


Summary
Virus:Win32/Alureon.A is a detection for system drivers infected by members of the Win32/Alureon family.

Top

--------------------------------------------------------------------------------


Symptoms
There are no common symptoms associated with this threat. Alert notifications from installed antivirus software may be the only symptom(s).

Top

--------------------------------------------------------------------------------


Technical Information (Analysis)
Virus:Win32/Alureon.A is a detection for system drivers infected by members of the Win32/Alureon family.
Installation
Virus:Win32/Alureon.A is the detection for a system driver that has been infected by members of the Win32/Alureon family. In the wild, the following Alureon trojans have been observed to infect files, which are then detected as Virus:Win32/Alureon.A:

•Trojan:Win32/Alureon.gen!U
•TrojanDropper:Win32/Alureon.J

When the infecting trojan is run, it infects a system driver, usually 'atapi.sys'. It has also been observed to infect 'iastor.sys' but other system drivers may also be targeted.
Payload
Hides files and disk sectors
The system driver detected as Virus:Win32/Alureon.A is infected by the addition of code, whose function is to load a part of the Alureon rootkit. The Alureon rootkit is a component that gives Alureon the ability to avoid detection; it is created by the same Alureon trojan that infects the system driver.

The rootkit loaded by Virus:Win32/Alureon.A has the ability to avoid behavior blockers, which allows it to perform its malicious routines uninterrupted. It can also hide files and disk sectors.
Additional Information
The rootkit loaded by Virus:Win32/Alureon.A has the ability to update its files through other Alureon configuration files, such as Trojan:Win32/Alureon.CT or Trojan:Win32/Alureon.gen!R.

Analysis by Patrik Vicol

(EXTRAIDO DE https://www.microsoft.com/en-us/wdsi/th ... /Alureon.A)



Como que dice que puede haber infectado estos ficheros:

'atapi.sys' 'iastor.sys'

Pedimos que nos envies los que haya con este nombre en dicho ordenador, para analizarlos. En cualquier caso, luego se aconseja lances una REPARACION DE SISTEMA por si estuvieran modificados.

Seguiremos con las otras muestras que nos envias, e informaremos

saludos

ms, 20-12-2010


NOTA: Alureon y Olmarik son alias de un mismo troyano, segun antivirus usado.

ms.

[msc hotline sat]

Y otra muestra que hemos recibido tuya, y que pedia el ELISTARA, ha sido identificada como AUTORUN.VB.ML y pasada a controlar a partir del ELISTARA 22.23 de hoy



A partir de las 19 horas, esta nueva version estará disoponible en nuestra web



Tras descargarla y probarla, posteanos el contenido del C:\infosat.txt, donde veremos tanto la eliminacion de la muestra como la restauracion del código del MBR indicado en el anterior post.



saludos



ms, 20-12-2010

[msc hotline sat]

Envias muestras repetidas a las que enviaste ayer. (no repitas envios si no te lo pedimos!!!) Solo aprovechamos esta variante de PALEVO::

File name: sjhbfw75nsklo42enf8734.exe=al del inject (fhrkmk.exe)
Submission date: 2010-12-21 09:03:07 (UTC)
Current status: queued queued analysing finished


Result: 22/ 43 (51.2%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.20.06 2010.12.20 Trojan/Win32.Gen
AntiVir 7.11.0.110 2010.12.20 TR/VB.Inject.42210.DO
Antiy-AVL 2.0.3.7 2010.12.21 -
Avast 4.8.1351.0 2010.12.20 Win32:Trojan-gen
Avast5 5.0.677.0 2010.12.20 Win32:Trojan-gen
AVG 9.0.0.851 2010.12.21 -
BitDefender 7.2 2010.12.21 Trojan.Generic.KDV.86141
CAT-QuickHeal 11.00 2010.12.21 Worm.Silly.gen
ClamAV 0.96.4.0 2010.12.21 -
Command 5.2.11.5 2010.12.21 -
Comodo 7135 2010.12.21 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.12.21 -
Emsisoft 5.1.0.1 2010.12.21 Virus.Win32.VBInject!IK
eSafe 7.0.17.0 2010.12.19 Win32.TRVB.Inject.Do
eTrust-Vet 36.1.8052 2010.12.21 -
F-Prot 4.6.2.117 2010.12.20 -
F-Secure 9.0.16160.0 2010.12.21 Trojan.Generic.KDV.86141
Fortinet 4.2.254.0 2010.12.19 -
GData 21 2010.12.21 Trojan.Generic.KDV.86141
Ikarus T3.1.1.90.0 2010.12.21 Virus.Win32.VBInject
Jiangmin 13.0.900 2010.12.21 -
K7AntiVirus 9.73.3296 2010.12.20 -
Kaspersky 7.0.0.125 2010.12.21 -
McAfee 5.400.0.1158 2010.12.21 Artemis!997846B5716F
McAfee-GW-Edition 2010.1C 2010.12.20 Heuristic.LooksLike.Win32.SuspiciousPE.F
Microsoft 1.6402 2010.12.21 VirTool:Win32/VBInject.gen!DO
NOD32 5719 2010.12.20 -
Norman 6.06.12 2010.12.21 -
nProtect 2010-12-21.01 2010.12.21 Trojan.Generic.KDV.86141
Panda 10.0.2.7 2010.12.20 Generic Trojan
PCTools 7.0.3.5 2010.12.21 Trojan.Gen
Prevx 3.0 2010.12.21 High Risk Cloaked Malware
Rising 22.79.00.04 2010.12.21 -
Sophos 4.60.0 2010.12.21 -
SUPERAntiSpyware 4.40.0.1006 2010.12.21 -
Symantec 20101.3.0.103 2010.12.21 Trojan.Gen
TheHacker 6.7.0.1.104 2010.12.21 -
TrendMicro 9.120.0.1004 2010.12.21 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.21 -
VBA32 3.12.14.2 2010.12.20 -
VIPRE 7742 2010.12.21 Worm.Win32.IrcBot.bxr (v)
ViRobot 2010.12.20.4210 2010.12.21 Trojan.Win32.VBInject.140582
VirusBuster 13.6.104.2 2010.12.20 -
Additional informationShow all
MD5 : 997846b5716f7fa27aec896d56ab0098
SHA1 : 55b4d6ea95c2ae667a7a53ada08cffa5f3ecdfc5

File size : 140582 bytes

Wue es igual a la otra del mismo tamaño: fhrkmk.exe

Las cuales pasan a ser controladas a partir del ELIPALEVO 2.02 de hoy. Tras descargarla y probarla, posteanos el informe resultante.

Por ser malware de los que se propagan por pendrive, aconsejamos vacunar con ELIPEN tanto ordenadores como pendrives.

saludos
ms, 21-12-2010

NOTA: Esperamos aun el informe del ELISTARA 22.23 (para ver sl control del MBR...)

[geoda]

perdon señor administrador por escribir tarde le envio una muestra9.rar de archivos sospechosos ya no detecta el Win32/Olmarik.ADA. este es el informe de EliStartPage y de mi antivirus mas

(27-12-2010 22:39:22 (GMT))
EliStartPage v22.28 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 27 de Diciembre del 2010)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\WINDOWS\DRIVERS\WIN.EXE --> Eliminado Keylog-Spynet.F
C:\WINDOWS\DRIVERS\WIN.EXE --> Eliminado Keylog-Spynet.F
C:\WINDOWS\Drivers\PLUGIN.DAT --> Eliminado (Fichero Complementario).
C:\WINDOWS\Drivers\WINL.DAT --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKCU\...\Run] "WIN"="C:\WINDOWS\drivers\win.exe"
Entrada Eliminada [HKLM\...\Run] "WIN"="C:\WINDOWS\drivers\win.exe"
Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "explorer"="C:\WINDOWS\drivers\win.exe"
Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "explorer"="C:\WINDOWS\drivers\win.exe"
Eliminado , Installed Components "{T5TBB77L-4678-0MKC-421Q-14416031DYU6}"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	(27-12-2010  22:42:35 (GMT))
EliStartPage v22.28  (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 27 de Diciembre del 2010)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\WINDOWS\drivers\WIN.EXE --> Eliminado, Keylog-Spynet.F

Nº Total de Directorios:   9941
Nº Total de Ficheros:      74780
Nº de Ficheros Analizados: 19987
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

NOD32 Scanner versión 5740 (20101228) NT
La memoria operativa está correcta.
IObit Security 360

OS:Windows XP
Version:1.5.0.13
Definir Version:2047
Tiempo Transcurrido:00:02:34
Objetos Analizados:49812
Amenazas Encontradas:3

Código: Seleccionar todo

|Nombre|Tipo|Descripción|ID|
Trojan.PSW, Registry Key, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{t5tbb77l-4678-0mkc-421q-14416031dyu6}, 5-11182
Trojan.Win32/Agent, Registry Value, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Value=Explorer, 4-21172
Trojan.Win32/Agent, Registry Value, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Value=Explorer, 4-27079

[msc hotline sat]

Pues muy bien, en cuanto lo recibamos, lo analizaremos e informaremos al respecto.



saludos



ms, 29-12-2010

[msc hotline sat]

De los tres ficheros que envias, 2 iguales y con icono de carpeta, son variantes de un Backdoor VB.btu que pasamos a controlar con el ELITRIIP de hoy, 7.13 y el otro, el cbbw88s.exe es una variante de ONLINE GAMES, cuyo control y eliminaciuon añadimos al ELISTARA de hoy, 22.30



A partir de las 19 horas ambas utilidades estarán disponibles en nuestra web.



saludos



ms, 29-12-2010

[geoda]

Solo tengo 2 preguntas que ojala no les moleste

1.- C:\WINDOWS\System32\drivers\etc\hosts en este archivo el nod32 lo detecta como virus win32.QHOST y lo elimina tiene que ver este archivo con el sistema
2.- Este es el informe perdon por la tardanza

(6-1-2011 04:27:32 (GMT))
EliStartPage v22.34 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2011)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Key Eliminada [URLSearchHook (HKCU) "{42fc86fb-8ceb-4e0f-88db-636c133526df}"] -> C:\ARCHIVOS DE PROGRAMA\AMIGOSCARTAGO\TBAMIG.DLL
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
C:\ARCHIVOS DE PROGRAMA\AMIGOSCARTAGO\TBAMIG.DLL --> TBConduit(tb) Renombrado a .VIR
Eliminada Class, "{42fc86fb-8ceb-4e0f-88db-636c133526df}" -> C:\Archivos de programa\AmigosCartago\tbAmig.dll
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado HOSTS no Standar.
Restaurado HOSTS por Defecto.
Detectado Alureon(mbr) en MBR del HD0
Restaurado MBR del HD0
Restaurado MBR del HD1
Reinicie para Completar la Limpieza.

	(6-1-2011  04:31:56 (GMT))
EliStartPage v22.34  (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2011)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Archivos de programa\AmigosCartago\TBAMIG.DLL.VIR --> Eliminado, TBConduit(tb)
C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\WINDOWS\system32\REBOOT.EXE --> Eliminado, SystemPoser

Nº Total de Directorios:   5695
Nº Total de Ficheros:      53308
Nº de Ficheros Analizados: 13992
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados:  3

[geoda]

amigo me olvidaba como puedo suscribirme

[msc hotline sat]

Pues aparte de ver que te faltan parches: No detectado SP3 de Windows XP (lanza un windowsupdatye e instala los que detecte que faltan)

Vemos que ha ido muy bien pasar el ELISTARA, por varios ficheros troyanos que se detectaron y eliminaron, aparte de que había el MBR con el código del ALUREON, el cual ha sido sobrescrito, pero no vemos que hayas pasado el ELITRIIP, y que hace falta segun indicabamos en nuestro anterior post:

De los tres ficheros que envías, 2 iguales y con icono de carpeta, son variantes de un Backdoor VB.btu que pasamos a controlar con el ELITRIIP de hoy, 7.13

Descargalo y tras probarlo, posteanos el informe resultante, gracias:

http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 6-1-2011

[msc hotline sat]

Y respecto a las Noticias de SATINFO, si bien es un servicio para los asociados a su contratos de servicio tecnico, a partir de este año cabe suscribirse a través del RSS

saludos
ms, 6-1-2011

[msc hotline sat]

Y si persistiera la detección del ficheros HOSTS, arrastralo al escritorio y allí podrás borrarlo, luego ve a su carpeta habitual, C:\windows\system32\drivers\etc\ y verás un fichero HOSTS.TMP , elimina la extension .TMP y tendrás normalizado dicho HOSTS



saludos



ms, 6-1-2011