Virus "doble acento" resistente a Elistara 22.44 (SOLUCIONADO)

[GRN]

Buenas noches.



Estoy tratando de ayudar (en remoto) :oops: a un familiar mayor que tiene el "virus" del doble acento.



Es un ordenador con XP SP3.



Ha arrancado el PC en modo seguro y ha pasado el ElistarA 22.44 descargado hoy mismo. Luego ha arrancado normal y sigue con el problema.



[color=#0000BF][b]Pego el informe del ElistarA:[/b][/color]

(23-1-2011 17:14:47 (GMT))

EliStartPage v22.44 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [URLSearchHook (HKCU) "{B922D405-6D13-4A2B-AE89-08A030DA4402}"] -> C:\ARCHIVOS DE PROGRAMA\PDFFORGE TOOLBAR\IE\4.1\PDFFORGETOOLBARIE.DLL

C:\ARCHIVOS DE PROGRAMA\APPLICATION UPDATER\APPLICATIONUPDATER.EXE --> Eliminado Malware.Widgi

C:\ARCHIVOS DE PROGRAMA\PDFFORGE TOOLBAR\IE\4.1\PDFFORGETOOLBARIE.DLL --> Eliminado Malware.Widgi(tb)

Entrada Eliminada [HKLM\...\Run] "SearchSettings"=""C:\Archivos de programa\Archivos comunes\Spigot\Search Settings\SearchSettings.exe""

Eliminada Class, "{B922D405-6D13-4A2B-AE89-08A030DA4402}" -> C:\Archivos de programa\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll

Eliminado Servicio, "Application Updater"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-1-2011 17:49:18 (GMT))

EliStartPage v22.44 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(23-1-2011 17:50:12 (GMT))

EliStartPage v22.44 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 14

Nº de Ficheros Analizados: 6

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





[color=#0000BF][b]Por si ayuda:

El informe del antivirus AVIRA:[/b][/color]



Avira AntiVir Personal

Fecha de creación del fichero de informe: domingo, 23 de enero de 2011 20:52



Analizando cepas de virus de 2413583.



El programa está funcionando como versión completa sin limitaciones.

Los servicios online están a disposición.



Titular de la licencia : Avira AntiVir Personal - FREE Antivirus

Número de serie : 0000149996-ADJIE-0000001

Plataforma : Windows XP

Versión de Windows : (Service Pack 3) [5.1.2600]

Modo de arranque : Arranque normal

Nombre de usuario : SYSTEM

Nombre del equipo : PARTICUL-1100B9



Información de versión:

BUILD.DAT : 10.0.0.49 31823 Bytes 07/12/2010 15:01:00

AVSCAN.EXE : 10.0.3.5 435368 Bytes 23/01/2011 19:35:45

AVSCAN.DLL : 10.0.3.0 53608 Bytes 17/08/2010 12:38:41

LUKE.DLL : 10.0.3.2 104296 Bytes 23/01/2011 19:35:46

LUKERES.DLL : 10.0.0.0 13160 Bytes 25/02/2010 15:41:08

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 19:35:17

VBASE002.VDF : 7.11.0.1 2048 Bytes 14/12/2010 19:35:17

VBASE003.VDF : 7.11.0.2 2048 Bytes 14/12/2010 19:35:17

VBASE004.VDF : 7.11.0.3 2048 Bytes 14/12/2010 19:35:18

VBASE005.VDF : 7.11.0.4 2048 Bytes 14/12/2010 19:35:18

VBASE006.VDF : 7.11.0.5 2048 Bytes 14/12/2010 19:35:18

VBASE007.VDF : 7.11.0.6 2048 Bytes 14/12/2010 19:35:18

VBASE008.VDF : 7.11.0.7 2048 Bytes 14/12/2010 19:35:18

VBASE009.VDF : 7.11.0.8 2048 Bytes 14/12/2010 19:35:19

VBASE010.VDF : 7.11.0.9 2048 Bytes 14/12/2010 19:35:19

VBASE011.VDF : 7.11.0.10 2048 Bytes 14/12/2010 19:35:19

VBASE012.VDF : 7.11.0.11 2048 Bytes 14/12/2010 19:35:19

VBASE013.VDF : 7.11.0.52 128000 Bytes 16/12/2010 19:35:20

VBASE014.VDF : 7.11.0.91 226816 Bytes 20/12/2010 19:35:21

VBASE015.VDF : 7.11.0.122 136192 Bytes 21/12/2010 19:35:21

VBASE016.VDF : 7.11.0.156 122880 Bytes 24/12/2010 19:35:22

VBASE017.VDF : 7.11.0.185 146944 Bytes 27/12/2010 19:35:23

VBASE018.VDF : 7.11.0.228 132608 Bytes 30/12/2010 19:35:23

VBASE019.VDF : 7.11.1.5 148480 Bytes 03/01/2011 19:35:24

VBASE020.VDF : 7.11.1.37 156672 Bytes 07/01/2011 19:35:25

VBASE021.VDF : 7.11.1.65 140800 Bytes 10/01/2011 19:35:25

VBASE022.VDF : 7.11.1.87 225280 Bytes 11/01/2011 19:35:26

VBASE023.VDF : 7.11.1.124 125440 Bytes 14/01/2011 19:35:27

VBASE024.VDF : 7.11.1.155 132096 Bytes 17/01/2011 19:35:27

VBASE025.VDF : 7.11.1.189 451072 Bytes 20/01/2011 19:35:29

VBASE026.VDF : 7.11.1.190 2048 Bytes 20/01/2011 19:35:29

VBASE027.VDF : 7.11.1.191 2048 Bytes 20/01/2011 19:35:29

VBASE028.VDF : 7.11.1.192 2048 Bytes 20/01/2011 19:35:29

VBASE029.VDF : 7.11.1.193 2048 Bytes 20/01/2011 19:35:30

VBASE030.VDF : 7.11.1.194 2048 Bytes 20/01/2011 19:35:30

VBASE031.VDF : 7.11.1.216 59392 Bytes 21/01/2011 19:35:31

Versión del motor : 8.2.4.150

AEVDF.DLL : 8.1.2.1 106868 Bytes 17/08/2010 12:38:22

AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 23/01/2011 19:35:42

AESCN.DLL : 8.1.7.2 127349 Bytes 23/11/2010 15:10:57

AESBX.DLL : 8.1.3.2 254324 Bytes 23/11/2010 15:11:04

AERDL.DLL : 8.1.9.2 635252 Bytes 23/11/2010 15:10:56

AEPACK.DLL : 8.2.4.8 512374 Bytes 23/01/2011 19:35:41

AEOFFICE.DLL : 8.1.1.15 205178 Bytes 23/01/2011 19:35:40

AEHEUR.DLL : 8.1.2.68 3178870 Bytes 23/01/2011 19:35:39

AEHELP.DLL : 8.1.16.0 246136 Bytes 23/01/2011 19:35:34

AEGEN.DLL : 8.1.5.2 397683 Bytes 23/01/2011 19:35:33

AEEMU.DLL : 8.1.3.0 393589 Bytes 23/11/2010 15:10:25

AECORE.DLL : 8.1.19.2 196983 Bytes 23/01/2011 19:35:32

AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 12:38:15

AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:26

AVPREF.DLL : 10.0.0.0 44904 Bytes 17/08/2010 12:38:26

AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 14:27:33

AVREG.DLL : 10.0.3.2 53096 Bytes 17/08/2010 12:38:26

AVSCPLR.DLL : 10.0.3.2 84328 Bytes 23/01/2011 19:35:45

AVARKT.DLL : 10.0.22.6 231784 Bytes 23/01/2011 19:35:43

AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 17/08/2010 12:38:24

SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:27:42

AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:26

NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:27:41

RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 11/02/2010 00:22:00

RCTEXT.DLL : 10.0.58.0 98664 Bytes 17/08/2010 12:38:41



Configuración para el análisis actual:

Nombre de tarea...........................: Analizar el sistema completo

Fichero de configuración..................: c:\archivos de programa\avira\antivir desktop\sysscan.avp

Registro..................................: bajo

Acción principal..........................: interactivo

Acción secundaria.........................: omitir

Analizando sectores de arranque maestros..: activado

Analizando sectores de arranque...........: activado

Sectores de arranque......................: C:,

Analizando programas activos..............: activado

Programas en ejecución extendidos.........: activado

Analizando registro.......................: activado

Búsqueda de rootkits......................: activado

Compr. integridad ficheros del sistema....: desactivado

Modo de análisis de ficheros..............: Todos los ficheros

Analizando archivos.......................: activado

Limitar nivel de recursividad.............: 20

Extensiones inteligentes de archivo.......: activado

Heurística de macrovirus..................: activado

Heurística de ficheros....................: medio

Categorías de riesgo divergentes..........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,



Comienzo del análisis: domingo, 23 de enero de 2011 20:52



Comienza el análisis de existencia de objetos ocultos.

HKEY_LOCAL_MACHINE\Software\Microsoft\Remote Desktop\Pending Help Session\rlzozubdg0lrzle0lxcdsbdffwzygatr9aoilpmcyjk=

[NOTA] La entrada del registro no es visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist

[NOTA] La entrada del registro no es visible.

c:\windows\system32\userinit.exe

c:\windows\system32\userinit.exe

[NOTA] El proceso no es visible.

c:\archivos de programa\google\update\googleupdate.exe

c:\archivos de programa\google\update\googleupdate.exe

[NOTA] El proceso no es visible.

c:\windows\system32\wuauclt.exe

c:\windows\system32\wuauclt.exe

[NOTA] El proceso no es visible.

c:\windows\system32\hdashcut.exe

c:\windows\system32\hdashcut.exe

[NOTA] El proceso no es visible.

c:\archivos de programa\cyberlink\powerdvd\language\language.exe

c:\archivos de programa\cyberlink\powerdvd\language\language.exe

[NOTA] El proceso no es visible.

c:\archivos de programa\google\quick search box\googlequicksearchbox.exe

c:\archivos de programa\google\quick search box\googlequicksearchbox.exe

[NOTA] El proceso no es visible.

c:\archivos de programa\avira\antivir desktop\avgnt.exe

c:\archivos de programa\avira\antivir desktop\avgnt.exe

[NOTA] El proceso no es visible.

c:\archivos de programa\google\googletoolbarnotifier\googletoolbarnotifier.exe

c:\archivos de programa\google\googletoolbarnotifier\googletoolbarnotifier.exe

[NOTA] El proceso no es visible.

c:\documents and settings\jose\configuración local\datos de programa\google\update\googleupdate.exe

c:\documents and settings\jose\configuración local\datos de programa\google\update\googleupdate.exe

[NOTA] El proceso no es visible.

c:\archivos de programa\mcafee security scan\2.0.181\ssscheduler.exe

c:\archivos de programa\mcafee security scan\2.0.181\ssscheduler.exe

[NOTA] El proceso no es visible.

c:\windows\system32\rundll32.exe

c:\windows\system32\rundll32.exe

[NOTA] El proceso no es visible.

c:\windows\system32\rundll32.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\msiexec.exe

c:\windows\system32\msiexec.exe

[NOTA] El proceso no es visible.

c:\archivos de programa\google\google toolbar\component\googletoolbarmanager_4079369a224cb572.exe

c:\archivos de programa\google\google toolbar\component\googletoolbarmanager_4079369a224cb572.exe

[NOTA] El proceso no es visible.

c:\windows\system32\cidaemon.exe

c:\windows\system32\cidaemon.exe

[NOTA] El proceso no es visible.

c:\archivos de programa\google\common\google updater\googleupdaterservice.exe

c:\archivos de programa\google\common\google updater\googleupdaterservice.exe

[NOTA] El proceso no es visible.

c:\archivos de programa\google\google toolbar\component\googlequicksearchboxsetup_f8db49e787cc0771.exe

c:\archivos de programa\google\google toolbar\component\googlequicksearchboxsetup_f8db49e787cc0771.exe

[NOTA] El proceso no es visible.



Comienza el análisis de los procesos iniciados:

Analizando proceso 'cidaemon.exe' - se analizaron '77' módulos

Analizando proceso 'rsmsink.exe' - se analizaron '37' módulos

Analizando proceso 'AcroRd32Info.exe' - se analizaron '41' módulos

Analizando proceso 'WinRAR.exe' - se analizaron '66' módulos

Analizando proceso 'WinRAR.exe' - se analizaron '66' módulos

Analizando proceso 'WinRAR.exe' - se analizaron '65' módulos

Analizando proceso 'msdtc.exe' - se analizaron '40' módulos

Analizando proceso 'dllhost.exe' - se analizaron '59' módulos

Analizando proceso 'dllhost.exe' - se analizaron '45' módulos

Analizando proceso 'vssvc.exe' - se analizaron '48' módulos

Analizando proceso 'avscan.exe' - se analizaron '69' módulos

Analizando proceso 'avcenter.exe' - se analizaron '62' módulos

Analizando proceso 'IEXPLORE.EXE' - se analizaron '106' módulos

Analizando proceso 'IEXPLORE.EXE' - se analizaron '118' módulos

Analizando proceso 'IEXPLORE.EXE' - se analizaron '82' módulos

Analizando proceso 'sched.exe' - se analizaron '46' módulos

Analizando proceso 'avgnt.exe' - se analizaron '50' módulos

Analizando proceso 'avshadow.exe' - se analizaron '26' módulos

Analizando proceso 'avguard.exe' - se analizaron '53' módulos

Analizando proceso 'SCServer.exe' - se analizaron '41' módulos

Analizando proceso 'HelpCtr.exe' - se analizaron '77' módulos

Analizando proceso 'RDSADDIN.EXE' - se analizaron '33' módulos

Analizando proceso 'winlogon.exe' - se analizaron '62' módulos

Analizando proceso 'csrss.exe' - se analizaron '14' módulos

Analizando proceso 'sessmgr.exe' - se analizaron '61' módulos

Analizando proceso 'RDSHOST.exe' - se analizaron '40' módulos

Analizando proceso 'wlcomm.exe' - se analizaron '70' módulos

Analizando proceso 'msnmsgr.exe' - se analizaron '146' módulos

Analizando proceso 'wmiapsrv.exe' - se analizaron '51' módulos

Analizando proceso 'alg.exe' - se analizaron '39' módulos

Analizando proceso 'svchost.exe' - se analizaron '49' módulos

Analizando proceso 'SeaPort.exe' - se analizaron '50' módulos

Analizando proceso 'RichVideo.exe' - se analizaron '30' módulos

Analizando proceso 'nvsvc32.exe' - se analizaron '41' módulos

Analizando proceso 'nSvcLog.exe' - se analizaron '36' módulos

Analizando proceso 'nSvcIp.exe' - se analizaron '54' módulos

Analizando proceso 'MDM.EXE' - se analizaron '29' módulos

Analizando proceso 'jqs.exe' - se analizaron '92' módulos

Analizando proceso 'hpgs2wnf.exe' - se analizaron '34' módulos

Analizando proceso 'cisvc.exe' - se analizaron '38' módulos

Analizando proceso 'msmsgs.exe' - se analizaron '47' módulos

Analizando proceso 'NMBgMonitor.exe' - se analizaron '36' módulos

Analizando proceso 'ctfmon.exe' - se analizaron '33' módulos

Analizando proceso 'jusched.exe' - se analizaron '25' módulos

Analizando proceso 'hpotdd01.exe' - se analizaron '37' módulos

Analizando proceso 'hpztsb09.exe' - se analizaron '29' módulos

Analizando proceso 'hpcmpmgr.exe' - se analizaron '39' módulos

Analizando proceso 'HPWuSchd.exe' - se analizaron '27' módulos

Analizando proceso 'hpgs2wnd.exe' - se analizaron '35' módulos

Analizando proceso 'PDVDServ.exe' - se analizaron '32' módulos

Analizando proceso 'Smax4.exe' - se analizaron '30' módulos

Analizando proceso 'smax4pnp.exe' - se analizaron '40' módulos

Analizando proceso 'RUNDLL32.EXE' - se analizaron '36' módulos

Analizando proceso 'svchost.exe' - se analizaron '54' módulos

Analizando proceso 'Explorer.EXE' - se analizaron '171' módulos

Analizando proceso 'spoolsv.exe' - se analizaron '61' módulos

Analizando proceso 'svchost.exe' - se analizaron '56' módulos

Analizando proceso 'svchost.exe' - se analizaron '45' módulos

Analizando proceso 'svchost.exe' - se analizaron '164' módulos

Analizando proceso 'svchost.exe' - se analizaron '52' módulos

Analizando proceso 'svchost.exe' - se analizaron '63' módulos

Analizando proceso 'lsass.exe' - se analizaron '65' módulos

Analizando proceso 'services.exe' - se analizaron '27' módulos

Analizando proceso 'winlogon.exe' - se analizaron '81' módulos

Analizando proceso 'csrss.exe' - se analizaron '14' módulos

Analizando proceso 'smss.exe' - se analizaron '2' módulos



Comienza el análisis de los sectores de arranque maestros:

Sector de arranque maestro HD0

[INFORMACIÓN] No se encontraron virus.

Sector de arranque maestro HD1

[INFORMACIÓN] No se encontraron virus.

Sector de arranque maestro HD2

[INFORMACIÓN] No se encontraron virus.

Sector de arranque maestro HD3

[INFORMACIÓN] No se encontraron virus.

Sector de arranque maestro HD4

[INFORMACIÓN] No se encontraron virus.



Comienza el análisis de los sectores de arranque:

Sector de arranque 'C:\'

[INFORMACIÓN] No se encontraron virus.



Se inicia el análisis de las referencias a ficheros ejecutables (registro):

Se analizó el registro ( '440' ficheros ).





Comienza el análisis de los ficheros seleccionados:



Comenzando el análisis en 'C:\'

C:\Documents and Settings\JOSE\Datos de programa\Sun\Java\Deployment\cache\6.0\14\5180218e-5b5f5deb

[0] Tipo de archivo: ZIP

[DETECCIÓN] Contiene patrones de detección del virus de Java JAVA/OpenConnecti.C

--> yid.class

[DETECCIÓN] Contiene patrones de detección del virus de Java JAVA/OpenConnecti.C

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP560\A0182758.exe

[DETECCIÓN] Se trata del troyano TR/Spy.SpyEyes.eli

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP560\A0182777.exe

[DETECCIÓN] Se trata del troyano TR/Spyeye.H.25

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP561\A0182899.exe

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

--> Object

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP562\A0182914.exe

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

--> Object

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP562\A0183152.exe

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

--> Object

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP565\A0183529.exe

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

--> Object

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2



Iniciando la desinfección:

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP565\A0183529.exe

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

[NOTA] El fichero se movió al directorio de cuarentena usando el nombre '4e173312.qua'.

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP562\A0183152.exe

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

[NOTA] El fichero se movió al directorio de cuarentena usando el nombre '56801cb5.qua'.

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP562\A0182914.exe

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

[NOTA] El fichero se movió al directorio de cuarentena usando el nombre '04df465d.qua'.

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP561\A0182899.exe

[DETECCIÓN] Se trata del troyano TR/Crypt.XPACK.Gen2

[NOTA] El fichero se movió al directorio de cuarentena usando el nombre '62e8099c.qua'.

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP560\A0182777.exe

[DETECCIÓN] Se trata del troyano TR/Spyeye.H.25

[NOTA] El fichero se movió al directorio de cuarentena usando el nombre '276c24a2.qua'.

C:\System Volume Information\_restore{6EF3B74F-AAC8-4872-9966-C4BF7BEAB756}\RP560\A0182758.exe

[DETECCIÓN] Se trata del troyano TR/Spy.SpyEyes.eli

[NOTA] El fichero se movió al directorio de cuarentena usando el nombre '587716c3.qua'.

C:\Documents and Settings\JOSE\Datos de programa\Sun\Java\Deployment\cache\6.0\14\5180218e-5b5f5deb

[DETECCIÓN] Contiene patrones de detección del virus de Java JAVA/OpenConnecti.C

[NOTA] El fichero se movió al directorio de cuarentena usando el nombre '14d63a88.qua'.





Fin del análisis: domingo, 23 de enero de 2011 22:02

Tiempo requerido: 1:09:07 Horas



El análisis se ejecutó por completo.



6672 Se analizaron las carpetas

292643 Ficheros analizados

7 Virus o programas no deseados detectados

0 Ficheros clasificados como sospechosos

0 Ficheros eliminados

0 Virus o programas no deseados reparados

7 Los ficheros se movieron a cuarentena

0 Se cambió el nombre de los ficheros

0 No se pudieron analizar los ficheros

292636 Ficheros no concernidos

1569 Se analizaron los archivos

0 Advertencias

7 Notas

368502 Los objetos se analizaron con el análisis de rootkits

20 Se detectaron objetos ocultos



Y por último Panda Scan Online solo detecta 2 cookies.



¿Podríais echarme una mano?



Gracias.

[msc hotline sat]

En remoto no es la forma de detectar/eliminar troyanos, y mas si no se les conoce especificamente, sino solo por sus hechos, como lo del doble acento... No se puede analizar el registro de sistema, y con ello no se ven algunas de las claves que delatan a dichos malwares...



Mira de probar el ELISTARA in situ, y si no detecta nada ni pide muestra para analizar, procede con lo que indicamos con el SPROCES:


[quote="msc"]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y si en el informe no detecta nada ni pide el envio de ninguna muestra sospechosas para analizar, lanza el SPROCES y posteanos el informe resultante:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Tras lanzarlo, pulsar en SALIR y con un copiar y pegar, nos posteas el contenido del C:\sproclog.txt en tu proximo post, como respuesta de este Tema
[/quote]

saludos



ms, 24-1-2011

[GRN]

Igual os he inducido a una confusión.



Al decir en remoto me refiero a que el PC y su propietario están en Huesca y yo en Madrid, pero el ElistarA lo descargó el propietario, arrancó modo seguro el mismo y corrió el programa él también siguiendo mis indicaciones por teléfono. La traza que adjunté en mi anterior correo es el resultado de lo anterior.



Luego yo entré en remoto he hice algunas comprobaciones más. Mencioné este hecho en el sentido de que si alguna actuación es compleja tal vez tenga problemas en trasladársela/explicársela a mi tío. :?



En cualquier caso, repetiré la prueba con ElistarA (por cierto: ¿es necesario pasarla en modo seguro?) y obtendré una traza con SPROCES y la "posteare".



Aprovecho para una pregunta (espero que no sea excesivamente off-topic).



[color=#0000BF][b]¿Cual es el periodo de validez del software descargado?[/b][/color].

Lo pregunto porque sendos Elistara y Elibagle que me bajé en su día (enero y diciembre de 2010) no he podido correrlos de nuevo (a título preventivo)en mi PC.



Muchas gracias por vuestra atención.

[msc hotline sat]

Las utilidades tipo ELISTARA las hacemos nuevas a diario, y es cuestion de usar simpre la última, pues usando una anticuada puede no detectar lo que justamente detecte la última.



Por ello damos 10 dias de validez en estas que son actualizadas a diario, en cambio, con el SPROCES, la actual version 5.0 tiene validez hasta el 30 de Junio



Y espreferible usarlas arrancando en MODO SEGURO, primero porque sino el malware residente puede incordiar e incluso impedir que actue la utilidad, y segundo, porque asi no habrá ni el antivirus residente, que otras veces es el que incordia, o al menos ralentiza cuando se está explorando



Y efectivamente había mal entendido lo de "remoto", tal como indicas es correcto, pero igual el AVIRA estaba residente incordiando...



A ver lo que vemos en MODO SEGURO...



saludos



ms, 24-1-2011

[GRN]

Buenas noches.



Adjunto las trazas de ElistarA y SProces obtenidos en modo seguro. [b]El doble acento persiste[/b].



Observaréis un log de ElistarA muy limpio. Como os podéis imaginar (se que fue un error hacerlo) ayer moví el InfoSat de c:\ ¡lo siento!. :roll:



No obstante, el log original está al comienzo del post. :)



============================= 8< ==================================

(24-1-2011 19:05:00 (GMT))

EliStartPage v22.44 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(24-1-2011 19:16:20 (GMT))

EliStartPage v22.44 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6363

Nº Total de Ficheros: 69672

Nº de Ficheros Analizados: 20628

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







============================= 8< ==================================

(24-1-2011 19:23:34 GMT)

SProces v5.0 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: PARTICUL-1100B9

Nombre Usuario: JOSE



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\DOCUMENTS AND SETTINGS\JOSE\MIS DOCUMENTOS\MIS ARCHIVOS RECIBIDOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: (no name) - {0974848a-b5bc-49f2-9778-307742b4a55d} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0974848a-b5bc-49f2-9778-307742b4a55d} - (no file)

O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: (no name) - {0974848a-b5bc-49f2-9778-307742b4a55d} - (no file)

O3 - Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [$Recycle$.exe] C:\$Recycle$\$Recycle$.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe

O23 - Service: avgntflt - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avgntflt.sys

O23 - Service: Servicio Google Update (gupdate1c9caa3b83a8936) (gupdate1c9caa3b83a8936) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys

O23 - Service: AEAudio Service (AEAudioService) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\drivers\HdAudio.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SenFilt Service (SenFiltService) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\Senfilt.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)



28 Servicios.

9 de Carga Automatica.

14 de Carga Manual.

5 Deshabilitados.



Quedo a la espera de vuestras noticias.



¡Muchas gracias!

[msc hotline sat]

En el SPROCLOG.TXT de ahora vemos:



O4 - HKCU\..\Run: [$Recycle$.exe] C:\$Recycle$\$Recycle$.exe



está claro que es muy sospechoso, envianoslo para analizar



Fijarse que la carpeta no es la de recycle (papelera) normal, sino $recycle$ , igual que el nombre del fichero.



Tan pronto lo recibamos lo pasaremos a analizar y controlar, de lo cual informaremos.





Mientras, puedes añadir .VIR a la extension de dicho fichero, para que no se lance a partir del proximo reinicio, a ver si asi deja de aparecer lo del doble acento, al no actuar dicho fichero provisionalmente. Luego con la utilidad que hagamos ya eliminaremos la clave de carga y lo demas que veamos que hace.



saludos



ms, 25-1-2011





NOTA:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

[GRN]

Hola:

No consigo ver esa carpeta ni el fichero.



Por supuesto que he activado ver activado ver ocultos, carpetas del sistema y desactivado ocultar archivos protegidos.



¿Como puedo encontralo para enviar una muestra y renombrarlo?



Gracis

[msc hotline sat]

Pruebalo con el ELIMOVER, entrando la ruta y fichero:



C:\$Recycle$\$Recycle$.exe





(hazlo con un copiar y pegar)





http://www.zonavirus.com/descargas/elimover.asp





y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio





Luego lo tendrás en C:\muestras, de donde espero que te sea fácil enviarnoslo para controlar.



saludos



ms, 25-1-2011

[GRN]

Empiezo con la buena noticia: aparentemente habéis dado en el clavo; ya no hay doble acento, tengo una muestra del virus y el fichero $Recycler$.exe ha sido renombrado.



Voy al detalle para que tengais más información.



En un primer intento, recordad que trabajo en remoto para mi tío con el messenger, le mandé el programa elimover con el atributo de solo lectura y por el messenger. En esta ocasión el fichero le llegó pero ni yo, en telecontrol, ni mi tío, en local tenía acceso al fichero. Además el AVIRA indicaba que estaba infectado.



[i](no sé si esto es significativo pero os lo cuento, por si acaso.......)[/i]



Entonces lo borré y lo envié con Messenger de nuevo pero, además de con el atributo de solo lectura, comprimido en un zip. Le pedí a mi tío que arrancara en modo seguro, buscara el fichero, hiciera doble clik sobre él y, una vez viera el contenido (elimover.exe), doble clik para ejecutarlo sin llevarlo a una carpeta.



El resto según podéis suponer. Tras arranque modo normal, ya se puede acentuar normal y me "traje" la muestra para enviarla cosa que haré a continuación.



[b]Quedo a la espera de la vacuna definitiva.[/b]



Muchas gracias y una vez más enhorabuena primero, y casi me atrevería a decir sobre todo, por el extraodinario servicio de asistencia técnica que prestáis y ¡cómo no! por los resultados que le acompañan

[msc hotline sat]

Gracias por las flores ! A nadie amarga un dulce ... :)



Y seguramente el antivirus que usa tu tio tiene un falso positivo con el ELIMOVER, como ya avisamos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26228



Pero afortunadamente supiste arrancar en MODO SEGURO y asi no cargaste residente el AV y pudiste lanzar la utilidad en cuestion, MUY BIEN !



Gracias a ello pudiste copiar en C:\muestras al sospechoso, que ha resultado ser culpable, aunque casi desconocido por completo actualmente, pues solo un antivirus lo conoce :roll:



Pasamos a controlarlo, con el mismo nombre que Norman, como SPY ZBOT-VZA a partir del ELISTARA de hoy 22.47



Cuando lo hayamos monitorizado mas a fondo, editaremos noticia al respecto.



Pero de momento ya lo tienes aparcado y no incordia... felicidades !



saludos



ms, 26/1/2011

[GRN]

Buenos días.



Procederé a descargar la versión indicada y os informaré de los resultados para que podáis cerrar el hilo.



Saludos.

[msc hotline sat]

Bien, y por si no la has visto, aqui tienes link de la Noticia que comentaba en mi último post de este Tema: http://www.zonavirus.com/noticias/2011/fichero-sospechoso-recycle-en-carpeta-sospechosa-crecyc.asp



Realmente es un RootKit de narices !



Espero que nos confirmes que con el ELISTARA 22.47, lanzandolo en MODO SEGURO, se ha solucionado el problema, gracias



saludos



ms, 27-1-2011

[GRN]

Buenas tardes.



Hasta el no pasado martes no tuve ocasión de lanzar el programa el cual, tal como esperaba, terminó de rematar la tarea borrando la clave y el subdirectorio sospechoso. Pego el log:



(24-1-2011 19:05:00 (GMT))

EliStartPage v22.44 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(24-1-2011 19:16:20 (GMT))

EliStartPage v22.44 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6363

Nº Total de Ficheros: 69672

Nº de Ficheros Analizados: 20628

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(25-1-2011 21:13:06 (GMT))

EliMover v1.3 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "c:\$recycle$\$recycle$.exe" -> Copiado a "C:\Muestras"

Fichero: "c:\$recycle$\$recycle$.exe" -> Renombrado a .VIR



(1-2-2011 21:02:51 (GMT))

EliStartPage v22.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "$Recycle$.exe"="C:\$Recycle$\$Recycle$.exe"

Eliminada Carpeta "C:\$Recycle$"

Eliminados Ficheros Temporales del IE



(1-2-2011 21:14:50 (GMT))

EliStartPage v22.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\$RECYCLE$.EXE.MUESTRA ELIMOVER V1.3 --> Eliminado, Spy.Zbot.VZA



Nº Total de Directorios: 6544

Nº Total de Ficheros: 73294

Nº de Ficheros Analizados: 20792

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Pues sólo me queda daros las gracias y emplazaros hasta la próxima, que tal como está el patio, pienso que la habrá si no es por mi, por algún allegado, que no paro de recomendar vuestar web a todo el que me quiere oir.



¡¡MUCHAS GRACIAS!!

[lucl]

Pues nos alegramos mucho y que hables a mas gente tambien pues es señal que te fue bien con nosotros. Y cerramos el tema dandolo por solucionado, y ya sabes donde estamos para cualquier cosa :D . Saludos.