Ayuda porfavor refullania.com url maliciosa mensaje de avast (SOLUCIONADO)

[Acuario71]

Hola, antes de nada dar la bienvenida a todos y de antemano gracias por leerme y por vuestra ayuda. Tengo un problema en mi portatil desde hace dias, tengo instalado Avast version gratuita y me vienen apareciendo mensajes de paginas webs bloqueadas, y ultimamente me dice que ha detectado un troyano o algo así. En principio me aparece sin yo hacer nada un mensaje diciendo que se ha bloqueado una URL maliciosa: refullania.com/set/first.html o bien refullania.com/set/task.html. El caso es q la semana pasada se me bloqueo el pc y me pareció un pantallazo azul, reinicié el equipo y todo parecia ir bien, quizá algo lento. Y bueno hoy escaneé con Avast todo el equipo y me encontró un Troyano, me dio la opcion de borrarlo y así lo hice, me pidió despues reiniciar el equipo para examinar el sector de arranque y le dí a aceptar y se me reinició el pc y me empezó a hacer un escaneo completo en modo parecido a ms2, me detectó 4 archivos infectados q le dije q me borrara pues por el nombre parecia no tener importancia. Por fin terminado el escaneo me arranca windows vista normalmente (y para colmo me dice q la version no es original, totalmente falso pues si lo es y me vino instalado con el equipo nuevo y tiene ademas en la base la clave original de Vista) y siguen apareciendo las ventanitas de Avast de url maliciosa y de vez en cuando la de se ha detectado y bloqueado un troyano o algo así.

Sabeis que puede estar pasando o como puedo resoverlo ??? agradeceria mucho vuestra ayuda antes de q vaya a más esto.

Muchisimas gracias de verdad.

[msc hotline sat]

Aunque no damos soporte sobre Windows VISTA, vamos a ver si la causa de lo indicado es algun troyano, para lo cual sugerimos pruebes el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, envianos el log generado por el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 5-3-2011

RSPMER

[Acuario71]

Gracias, haré lo q me sugieren, anoche estuve pasando el Panda Activescan y me ha detectado algunos troyanos (uno de peligrosidad media q dice q está latente y otros dos de preligrosidad baja, ademas de algunas cookies) pero no me deja borrarlos si no compro el producto.

Voy a pasar el Elistara a ver q dice. Gracias nuevamente. Espero poder solucionarlo con vuestra ayuda.



Peligrosidad meida (2)

+ Trj/Agent.OKB Virus Latente

+ Spyware/Virtumonde Spyware Latente



Peligrosidad baja (11)

+ 8 cookies

+ Trj/OpenConnection Virus Latente

+ Trj/CI.A Virus Latente

+ Trj/Nabload.DM Virus Latente



Podrá Avast free eliminarmelos? Gracias.

Voy con el elistara.

[msc hotline sat]

Si el ELISTARA aun no lo conociera, envianos el fichero en cuestion para implementar su control y eliminacion:







>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-3-2011

[Acuario71]

Bueno no sé si lo habre hecho bien, me he descargado tanto el ElistarA como el Sproces y primero ejecuté el ElistarA en modo Administrador (algunos archivos o carpetas no le permitieron el acceso , creo q 4 o 5 solamente).

Despues reinicié y lo ejecuté en modo seguro con funciones de red. Bueno pego el log del archiov txt:



(5-3-2011 11:27:11 (GMT))

EliStartPage v22.75 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado "Userinit"

[Userinit anterior] = "C:\Windows\system32\userinit.exe,"

[Userinit actual] = "C:\WINDOWS\SYSTEM32\Userinit.exe,"

Eliminados Ficheros Temporales del IE

Detectado HOSTS no Standar.

Detectado Alureon(mbr) en MBR del HD0

Restaurado MBR del HD0



(5-3-2011 11:43:10 (GMT))

EliStartPage v22.75 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 31011

Nº Total de Ficheros: 185198

Nº de Ficheros Analizados: 44882

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-3-2011 11:50:46 (GMT))

EliStartPage v22.75 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Cierre):

Detectada Posible Infección del Spam-MailBot



(5-3-2011 12:01:54 (GMT))

EliStartPage v22.75 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado HOSTS no Standar.



(5-3-2011 12:19:17 (GMT))

EliStartPage v22.75 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 31010

Nº Total de Ficheros: 185219

Nº de Ficheros Analizados: 44880

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-3-2011 12:37:46 (GMT))

EliStartPage v22.75 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectado HOSTS no Standar.



Que es eso del Hosts no Stardan me apareció una ventanita q si queria cambiarlo a original no nose qué, perdonad mi ignorancia. El SO es totalmente original me vino con el pc y como he dicho en la base de mi Vaio viene la pegatina con la clave de autenticidad, de momento ha dejado de aprecer en el escritorio el mensaje de q este siste operativo no es original, será buena señal.



Ahora os pego el log del Sproces, lo ejecuté tambien en el modo seguro con funciones de red:



5-3-2011 12:34:36 GMT)

SProces v5.1 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows Vista (TM) Home Premium (v6.0.6002)

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v8.0.6001.19019) 0

Nombre Equipo: XEMARI1

Nombre Usuario: Xemari



Procesos Activos:

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WBEM\UNSECAPP.EXE

C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNSCFG.EXE

C:\USERS\XEMARI\DESKTOP\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Google Update] "C:\Users\Xemari\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [MarketingTools] C:\Program Files\Sony\Marketing Tools\MarketingTools.exe

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [snpstd2] C:\Windows\vsnpstd2.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\Xemari\Desktop\EliStarA.exe

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem

O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - Startup: igfxtray.exe

O4 - Startup: ZooskMessenger.lnk = C:\Program Files\ZooskMessenger\ZooskMessenger.exe

O4 - Global Startup: BTTray.lnk = C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar imagen al dispositivo &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Enviar página al dispositivo &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {D71F9A27-723E-4B8B-B428-B725E47CBA3E} (Imikimi_activex_plugin Control) - http://imikimi.com/download/imikimi_plugin_0.5.1.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol hijack: about - (datos no accesibles)

O18 - Protocol hijack: dvd - (datos no accesibles)

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol hijack: its - (datos no accesibles)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll

O18 - Protocol hijack: mhtml - (datos no accesibles)

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol hijack: ms-its - (datos no accesibles)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Protocol hijack: tv - (datos no accesibles)

O18 - Protocol hijack: vbscript - (datos no accesibles)

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: VESWINLOGON - VESWINLOGON.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL



Información Adicional:

----------------------

Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

WinSys\Drivers\adp94xx.sys (de 420968 bytes) () Adaptec, Inc.

WinSys\Drivers\bthport.sys (de 507904 bytes) () Microsoft Corporation

WinSys\Drivers\CAMTHWDM.sys (de 941784 bytes) ()

WinSys\Drivers\dxgkrnl.sys (de 638336 bytes) () Microsoft Corporation

WinSys\Drivers\hdaudbus.sys (de 561152 bytes) () Microsoft Corporation

WinSys\Drivers\HSX_CNXT.sys (de 659968 bytes) () Conexant Systems, Inc.

WinSys\Drivers\HSX_DPV.sys (de 985600 bytes) () Conexant Systems, Inc.

WinSys\Drivers\http.sys (de 411648 bytes) () Microsoft Corporation

WinSys\Drivers\ksecdd.sys (de 439864 bytes) () Microsoft Corporation

WinSys\Drivers\ndis.sys (de 527848 bytes) () Microsoft Corporation

WinSys\Drivers\PEAuth.sys (de 878080 bytes) () Microsoft Corporation

WinSys\Drivers\ql2300.sys (de 900712 bytes) () QLogic Corporation

WinSys\Drivers\spsys.sys (de 684032 bytes) () Microsoft Corporation

WinSys\Drivers\tcpip.sys (de 905088 bytes) () Microsoft Corporation

WinSys\Drivers\ti21sony.sys (de 812544 bytes) () Texas Instruments

WinSys\Drivers\VSTCNXT3.SYS (de 654336 bytes) () Conexant Systems, Inc.

WinSys\Drivers\VSTDPV3.SYS (de 987648 bytes) () Conexant Systems, Inc.

WinSys\Drivers\Wdf01000.sys (de 503864 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe

O23 - Service: aswMonFlt - AVAST Software - C:\Windows\system32\drivers\aswMonFlt.sys

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: regi - InterVideo - C:\WINDOWS\SYSTEM32\drivers\regi.sys

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\stacsv.exe

O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

O23 - Service: Windows Live ID Sign-in Assistant (wlidsvc) - Microsoft Corp. - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

O23 - Service: XAudio - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\xaudio.sys

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Alps Pointing-device Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltlo.sys

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltup.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbser.sys

O23 - Service: Dispositivo de audio Bluetooth (btwaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btwaudio.sys

O23 - Service: Bluetooth AVDT Service (btwavdt) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btwavdt.sys

O23 - Service: Bluetooth L2CAP Service (btwl2cap) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwl2cap.sys

O23 - Service: btwrchid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwrchid.sys

O23 - Service: Intel(R) PRO/1000 NDIS 6 Adapter Driver (E1G60) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\E1G60I32.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GearAspiWDM (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: SEMC USB Flash Driver Filter (ggflt) - Sony Ericsson Mobile Communications - C:\WINDOWS\SYSTEM32\DRIVERS\ggflt.sys

O23 - Service: SEMC USB Flash Driver (ggsemc) - Sony Ericsson Mobile Communications - C:\WINDOWS\SYSTEM32\DRIVERS\ggsemc.sys

O23 - Service: Administrador de Google Desktop 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTAZL3.SYS

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_DPV.sys

O23 - Service: HSXHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSXHWAZL.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: IP in IP Tunnel Driver (IpInIp) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipinip.sys (file missing)

O23 - Service: mcdevice - ShiningMorning Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\mcdevice.sys

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\WINDOWS\system32\msiexec /V (file missing)

O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link para Windows Vista de 32 bits (NETw4v32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw4v32.sys

O23 - Service: nvlddmkm - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvlddmkm.sys

O23 - Service: IPX Traffic Filter Driver (NwlnkFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkflt.sys (file missing)

O23 - Service: IPX Traffic Forwarder Driver (NwlnkFwd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkfwd.sys (file missing)

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: R5U870 UVC Lower Filter (R5U870FLx86) - Ricoh - C:\WINDOWS\SYSTEM32\Drivers\R5U870FLx86.sys

O23 - Service: R5U870 UVC Upper Filter (R5U870FUx86) - Ricoh - C:\WINDOWS\SYSTEM32\Drivers\R5U870FUx86.sys

O23 - Service: Sony Ericsson Device 1018 driver (WDM) (s1018bus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018bus.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC Modem Filter (s1018mdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018mdfl.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC Modem Driver (s1018mdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018mdm.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM) (s1018mgmt) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018mgmt.sys

O23 - Service: Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS) (s1018nd5) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018nd5.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC OBEX Interface (s1018obex) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018obex.sys

O23 - Service: Sony Ericsson Device 1018 USB Ethernet Emulation (WDM) (s1018unic) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018unic.sys

O23 - Service: Sony Firmware Extension Parser (SFEP) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SFEP.sys

O23 - Service: VideoCAM Look (snpstd2) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snpstd2.sys

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: IDT High Definition Audio CODEC (STHDA) - IDT, Inc. - C:\WINDOWS\SYSTEM32\drivers\stwrt.sys

O23 - Service: ti21sony - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\ti21sony.sys

O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe

O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe

O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" (file missing)

O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" (file missing)

O23 - Service: VAIO Media Content Collection (VAIOMediaPlatform-UCLS-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\UCLS.exe

O23 - Service: VAIO Media Content Collection (HTTP) (VAIOMediaPlatform-UCLS-HTTP) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-UCLS-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" (file missing)

O23 - Service: VAIO Media Content Collection (UPnP) (VAIOMediaPlatform-UCLS-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe

O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe

O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_CNXT.sys

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

O23 - Service: NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller (yukonwlh) - Marvell - C:\WINDOWS\SYSTEM32\DRIVERS\yk60x86.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adp94xx.sys

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpahci.sys

O23 - Service: adpu160m - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu160m.sys

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu320.sys

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\djsvs.sys

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arc.sys

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arcsas.sys

O23 - Service: blbdrive - Unknown owner - C:\WINDOWS\system32\drivers\blbdrive.sys (file missing)

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserid.sys

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserwdm.sys

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbmdm.sys

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\drivers\elxstor.sys

O23 - Service: HpCISSs - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\hpcisss.sys

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\drivers\iirsp.sys

O23 - Service: ITEATAPI_Service_Install (iteatapi) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteatapi.sys

O23 - Service: ITERAID_Service_Install (iteraid) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteraid.sys

O23 - Service: LSI_FC - LSI Logic - C:\WINDOWS\system32\drivers\lsi_fc.sys

O23 - Service: LSI_SAS - LSI Logic - C:\WINDOWS\system32\drivers\lsi_sas.sys

O23 - Service: LSI_SCSI - LSI Logic - C:\WINDOWS\system32\drivers\lsi_scsi.sys

O23 - Service: megasas - LSI Logic Corporation - C:\WINDOWS\system32\drivers\megasas.sys

O23 - Service: Mraid35x - LSI Logic Corporation - C:\WINDOWS\system32\drivers\mraid35x.sys

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\drivers\nfrd960.sys

O23 - Service: N-trig HID Tablet Driver (ntrigdigi) - N-trig Innovative Technologies - C:\WINDOWS\system32\drivers\ntrigdigi.sys

O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

O23 - Service: QLogic Fibre Channel Miniport Driver (ql2300) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql2300.sys

O23 - Service: QLogic iSCSI Miniport Driver (ql40xx) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql40xx.sys

O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\drivers\sisraid2.sys

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\drivers\sisraid4.sys

O23 - Service: Symc8xx - LSI Logic - C:\WINDOWS\system32\drivers\symc8xx.sys

O23 - Service: Sym_hi - LSI Logic - C:\WINDOWS\system32\drivers\sym_hi.sys

O23 - Service: Sym_u3 - LSI Logic - C:\WINDOWS\system32\drivers\sym_u3.sys

O23 - Service: uliahci - ULi Electronics Inc. - C:\WINDOWS\system32\drivers\uliahci.sys

O23 - Service: UlSata - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata.sys

O23 - Service: ulsata2 - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata2.sys

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\drivers\vsmraid.sys



111 Servicios.

17 de Carga Automatica.

55 de Carga Manual.

39 Deshabilitados.



Por ultimo decir, q reinicie el equipo despues, entre en modo normal y ejecuté el Avast, un analisis completo y no ha detectado nada, pero el mensaje de Avast sigue apareciendo de vez en cuando:

se ha detectado una web maliciosa, url bloqueada, refullania.com/set/tasck.thml



Nosé q me recomendais. Gracias nuevamente.

[msc hotline sat]

Al parecer esta web es una de las usadas por algunos downloaders para descarga de malwares como:



Submited Md5 : 7ac1343d45150646e4bbe64589cba28a

The malware's connexion points (if any) and it's antivirus analysis is presented here :



URL list :

http://refullania.com/cfg/passw.plug

http://refullania.com/set/task.html

http://refullania.com/set/first.html







Detection date Antivirus name Malware family



2011-02-25 21:44:50 Antivir TR/Kazy.11414.1

2011-02-25 21:44:50 Avast Win32:Kryptik-AIT [Trj]

2011-02-25 21:44:50 Bit Defender Gen:Variant.Kazy.11414

2011-02-25 21:44:50 ClamAV

2011-02-25 21:44:50 DrWeb Trojan.DownLoader2.10335

2011-02-25 21:44:50 F-Prot

2011-02-25 21:44:50 F-Secure Anti-Virus Gen:Variant.Kazy.11414

2011-02-25 21:44:50 Ikarus IM-Worm.Win32.Yahos

2011-02-25 21:44:50 Kaspersky Anti-Virus

2011-02-25 21:44:50 McAfee VirusScan Generic Downloader.x!emi trojan

2011-02-25 21:44:50 Norman Virus Control

2011-02-25 21:44:50 Panda Anti-Virus Generic Trojan

2011-02-25 21:44:50 Sophos

2011-02-25 21:44:50 Symantec Command Line Scanner Trojan.Gen

2011-02-25 21:44:50 Trend Micro VScan TROJ_SPYEYE.SMEP

2011-02-25 21:44:50 VBScan Trojan.Kryptik!txwJ+ar9Pb8

2011-02-25 21:44:50 VirusBlokAda

2011-02-25 21:44:50 eTrust Antivirus





_________



o este otro:



Submited Md5 : 00eb8364b512b8d4ee476854607e05ca

The malware's connexion points (if any) and it's antivirus analysis is presented here :



URL list :

http://findvoiceless.org/pica1/431-direct

http://miminoprost.net/info/load.php?file=0

http://miminoprost.net/info/load.php?file=9

http://miminoprost.net/info/load.php?file=3

http://miminoprost.net/info/load.php?file=grabbers

http://miminoprost.net/info/load.php?file=8

http://miminoprost.net/info/load.php?file=1&luck=1

http://miminoprost.net/info/load.php?file=0&luck=1

http://refullania.com/cfg/passw.plug

http://miminoprost.net/info/load.php?file=1

http://miminoprost.net/info/load.php?file=2

http://refullania.com/set/task.html

http://miminoprost.net/info/load.php?file=4

http://searchdear.org/404.php?type=stats&affid=431&subid=01&iruns

http://findcopper.org/pica1/431-direct

http://miminoprost.net/info/load.php?file=6

http://miminoprost.net/info/load.php?file=9&luck=1

http://miminoprost.net/info/load.php?file=7

http://miminoprost.net/info/grabbers.php

http://miminoprost.net/info/load.php?file=5

http://findcopper.org/404.php?type=stats&affid=431&subid=01&awok

http://refullania.com/set/first.html

http://miminoprost.net/info/load.php?file=3&luck=1







Detection date Antivirus name Malware family



2011-02-26 14:55:35 Antivir TR/Crypt.ULPM.Gen

2011-02-26 14:55:35 Avast Win32:Kryptik-AKR [Trj]

2011-02-26 14:55:35 Bit Defender

2011-02-26 14:55:35 ClamAV

2011-02-26 14:55:35 DrWeb

2011-02-26 14:55:35 F-Prot

2011-02-26 14:55:35 F-Secure Anti-Virus

2011-02-26 14:55:35 Ikarus Trojan.Win32.Vundo

2011-02-26 14:55:35 Kaspersky Anti-Virus IM-Worm.Win32.Yahos.abs

2011-02-26 14:55:35 McAfee VirusScan PWS-Zbot.gen.do trojan

2011-02-26 14:55:35 Norman Virus Control

2011-02-26 14:55:35 Panda Anti-Virus

2011-02-26 14:55:35 Sophos

2011-02-26 14:55:35 Symantec Command Line Scanner

2011-02-26 14:55:35 Trend Micro VScan TROJ_SPYEYE.SMEP

2011-02-26 14:55:35 VBScan

2011-02-26 14:55:35 VirusBlokAda

2011-02-26 14:55:35 eTrust Antivirus





________





Sobre los informes que posteas, vemos que usas VISTA y encima sin parchear !!!



Sistema Operativo: Windows Vista (TM) Home Premium (v6.0.6002)



Parche MS08-067 (Servicio Servidor) NO Instalado.





y este fichero no lo conocemos, envianoslo para analizar:



C:\Program Files\ZooskMessenger\ZooskMessenger.exe





y este otro podría ser un BUBNIX, Rootkit de dificil acceso, pero lo sabremos facilmente ya que si lo puedes enviar sin problemas, señal que no lo es, pero si no se deja, arranca con el CD de instalacion, pulsa R para acceder a la Consola de recuperacion, y desde alli añades .VIR a su extension y lo copias a C:\, para que tras reiniciar nos lo puedas enviar para analizar:



C:\windows\system32\Drivers\CAMTHWDM.sys





recordar:







>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-3-2011













NOTA: y el ELISTARA ya ha hecho faena, eliminando el ALUREON del MBR, y estaurando el HOSTS, sin duda modificados por malwares que te han entrado navegando por internet, por lo que es posible que algunos problemas ya se hayan solucionado, pero veremos si los que envias tienen rutinas malwares o no, para obrar en consecuencia, de lo cual informaremos.



ms.

[Acuario71]

Eso quiere decir q hay algun troyano q sin yo darme cuenta intenta conectarse a esa web o por q me aparece ese mensaje de Avast cada "X" tiempo??

Me descargué el Trojan Remover version evaluación (30 dias) para ver si me detectaba algo y no ha detectado nada raro.

He vuelto a escanear el equipo con Avast y tampoco ha detectado nada (a pesar de q me salga ese mensaje del escudo de proteccion de Avast en tiempo real).

He usado tambien Panda Online ActiveScan para hacer un analisis del sistema como os comenté, lo he escaneado de nuevo y el resultado es el siguiente:

[i][b]Amenazas (8)[/b][/i]

[b]Peligrosidad Media (1)[/b]

+ Trj/Agent.OKB ------------ Virus -------- Latente

1. c:\users\xemari\appdata\locallow\sun\java\deployment\cache\6.0\40\1dca2928-76e0e023[direct/cron.class]

[b]Peligrosidad baja (7)[/b]

Cookie/Apmebf --Cookie espía---- Latente

1. c:\users\xemari\appdata\roaming\microsoft\win...ws\cookies\low\xemari@apmebf[1].txt



Cookie/Weborama----- Cookie espía ----Latente

1. c:\users\xemari\appdata\roaming\microsoft\win...\cookies\low\xemari@weborama[1].txt



Cookie/FastClick----- Cookie espía -----Latente

1. c:\users\xemari\appdata\roaming\microsoft\win...cookies\low\xemari@fastclick[2].txt



Trj/OpenConnection ---- Virus -----Latente

1. c:\users\xemari\appdata\locallow\sun\java\deployment\cache\6.0\40\1dca2928-76e0e023[direct/bear.class]



Cookie/Atlas DMT ---- Cookie espía ----Latente

1. c:\users\xemari\appdata\roaming\microsoft\win...ows\cookies\low\xemari@atdmt[1].txt



Cookie/Doubleclick --- Cookie espía ---- Latente

1. c:\users\xemari\appdata\roaming\microsoft\windows\cookies\low\xemari@doubleclick[2].txt

2. c:\users\xemari\appdata\roaming\microsoft\windows\cookies\xemari@doubleclick[1].txt



Trj/Nabload.DMH ---- Virus ---- Latente

1. c:\windows\system32\oobe\info\resources\startoffice.exe

------------------------------------------------------------------------------------------------------

El VISTA me venia como he dicho instalado en el portatil Vaio cuando lo compré y me lo vendieron como original junto con otros programas originales que ofrece Sony en sus portatiles, en la base del pc esta la clave de registro pero no tengo CD de instalación.

Lo del parche no sabia que habia que parchearlo, simplemente instalo todas las actualizaciones de windows cuando hay nuevas actualizaciones pero no sabia que habia que parchear algo. Intentaré informarme como instalarlo.



El fichero: C:\Program Files\ZooskMessenger\ZooskMessenger.exe

lo borré creo que con el ElistarA, le dije que si lo podia borrar pues se que los .exe son ejecutables de archivos y el zooskmessenger era solo un programa de chat de una red social de parejas Zoosk, por lo que sabia con seguridad q no tenia importancia (lo que no sé si estaria infectado o no). Por tanto no os lo puedo enviar pues ya no está en el pc.



en cuanto al fichero: C:\windows\system32\Drivers\CAMTHWDM.sys



si lo comprimo y os lo envio (si me deja hacerlo) y es un archivo importante de sistema y no me funcionase despues el pc?? es que los archivos .sys me da miedo miedo tocarlos. Creeis que no habrá problemas en (si me deja comprimirlo) y enviaroslo. No será un archivo importante??

Perdonad mi ignorancia, tengo nociones basicas de informatica.

Si veis que puedo pasar sin ese archivo sin problemas trataré de comprimirlo en rar, con contraseña como decis, ponerle el nombre virus y enviaroslo para analisis. Gracias por leerme y por estar ahi echandome un cable, en serio se agradece enormemente.

[msc hotline sat]

Por enviarnos un fichero, sin borrarlo, no vas a perder nada, no afecta al comportamiento del PC !



Y llámale parche o llámale actualizacion, pero está claro que te falta el parche mas importante contra el Conficker, lanza un windowsupdate y detectará su falta y lo instalará.



y el fichero que dice ser un Nabload, envianoslo para analizar:



[b][i]c:\windows\system32\oobe\info\resources\startoffice.exe[/i][/b]



En cuanto recibamos los ficheros que pedimos, los analizaremos e informaremos.



saludos



ms, 6-3-2011

[Acuario71]

Gracias de verdad por la ayuda. Tal como leí en vuestra web es bueno pasar dos antivirus online para comparar y asi lo hice anoche, pasé tambien el Bigdefender online y no me detectó nada en el pc, al igual que mi escaneo de Avast, mientras q el Panda Active Scan si me detectó lo q os he pegado arriba.



Los dos ficheros q me pedís os envie no me deja comprimirlos:



c:\windows\system32\oobe\info\resources\startoffice.exe



C:\windows\system32\Drivers\CAMTHWDM.sys



sigo todos los pasos correcto con el winrar (incluso introduzco la pass) pero al darle a comprimir me dice en una ventanita con dos simbolos de intergeccion en un triangulo amarillo de q no es posible: no se puede crear startoffice.rar acceso denegado.

en modo winzip tampoco deja.

[probé a comprimir cualquier otro archivo con winrar añadiendo contraseña y me lo hizo con facilidad, una foto por ejemplo].



Q me aconsejais? pruebo a comprimirlo arrancando en modo seguro o como deberia hacerlo para q me dejase.

Gracias de todos modos. Voy a lanazar windows update a ver si me coloca el parche tambien.

[msc hotline sat]

Es posible que lo intercepte el antivrus residente.



Prueba de hacerlo arrancando en MODO SEGURO



y si aun asi tienes problema, dinoslo, pero no creo...



saludos



ms, 6-3-2011

[Acuario71]

archivos enviados como envio de muestras.

Queria comentar q ahora Avast no solo me da el mensage cada "X" tiempo de la pagina de refullania.com como pagina sospechosa sino q tb me aparece otro mensage parecido: Malware o pagina web sospechosa, mensaje similar pero con otra dirección donde pone algo así como: google-analytics.

Nosé no entiendo de esto de virus y malware pero ya q mi antivirus (ni tampoco el bigdefender online) no detectan nada en un escaneo del equipo, puede q sea algun gusano o troyano infiltrado q trate sin yo darme cuenta de usar mi equipo para conectar a traves de esas paginas para descargar virus en el equipo?? Es que tras este mensaje de Avast miré en el buscador y encontré esta noticia del año pasado que me asustó un poco:


[quote="ZONAVIRUS"]


https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



y el link que posteaba llevaba a una noticia de hace un año, sobre uso, por los hackers, del java script del código del Google analytics, aunque mas bien en este caso parece ser por malwares descargados por un downloader que ya se ha eliminado, pero los malwares han quedado, siendo nuevos y aun no controlados...[/quote]

Bueno la verdad q tengo miedo q Avast llegue un momento en q no pueda bloquear el acceso a estas paginas y se pueda colar algun virus más dañino en mi pc. Nosé q medida tomar. Gracias por vuestra ayuda. Un saludo.

[msc hotline sat]

Como que hoy lunes, 7 de Marzo, es festivo en Barcelona, no se trabaja en SATINFO, asi que las muestras las analizaremos mañana, pero mientras puede añadir .VIR a los ficheros indicados, y si el analisis dice que no son maliciosos, se lo quitas y listos



Pero aparte de los dos que dices enviarnos, te pediamos estos otros dos:


[code]y este fichero no lo conocemos, envianoslo para analizar:

C:\Program Files\ZooskMessenger\ZooskMessenger.exe

y este otro podría ser un BUBNIX, Rootkit de dificil acceso, pero lo sabremos facilmente ya que si lo puedes enviar sin problemas, señal que no lo es, pero si no se deja, arranca con el CD de instalacion, pulsa R para acceder a la Consola de recuperacion, y desde alli añades .VIR a su extension y lo copias a C:\, para que tras reiniciar nos lo puedas enviar para analizar:

C:\windows\system32\Drivers\CAMTHWDM.sys[/code]

No los mencionas en lo del envio del empaquetado con password virus... si no lo has hecho, envialos ahora para analizar, de igual forma.



saludos



ms, 7-3-2011

[Acuario71]

ok muchas gracias de nuevo. Espero q podais disfrutar de este dia festivo que siempre se agradece un descanso.



Intentaré cambiar la extension .sys y .exe de los dos archivos por .vir



respecto al envio de los otros dos archivos que me decís, como os comenté en un post anterior, el archivo zooksmessenger.exe ya no lo tengo en el pc pues me dijo el elistarA q si lo queria borrar y le dije q sí pues sabia con seguridad q dicho ejecutable era de un programa de chat y no tiene importancia. Asi pues no lo tengo en mi pc ya.

y el segundo archivo:



C:\Program Files\ZooskMessenger\ZooskMessenger.exe (este archivo ya no lo tengo en el pc, fue eliminado)





C:\windows\system32\Drivers\CAMTHWDM.sys (este archivo os lo he enviado como muestra junto al startoffice.exe, osea dos muestras)



Gracias y a al espera de ver como solucionar el problema. un saludo.

[msc hotline sat]

Correcto, solo que en lugar de cambiarles la extension a los dos ficheros indicados, añadeles la .VIR, de forma que quedarán fichero.SYS.VIR y fichero.EXE.VIR, para asi poder quitarles luego el .VIR si no son maliciosos, y que se restaure automaticamente la extension inicial.



Y tras ello, reinicia y dinos si persisten las anomalias, o ya han quedado resueltas.



Aparte, si quieres subirlas a preanalizar al VirusTotal, como hariamos nosotros antes de monitorizarlas, hazlo, y si ves que alguno de ellos es detectado por algunos AV... nos posteas el informe resultante con un copiar y pegar, en tu proximo post, de respuesta a este Tema, gracias.



saludos



ms, 7-3-2011



NOTA:

Y sobre la fiesta, no te creas, un festivo que solo lo sea en Barcelona, te parte por la mitad, pues vivo a 35 km de donde trabajo, y aqui todo el mundo trabaja, además que muchos clientes de la empresa son de fuera de Barcelona, y necesitan de nuestros servicios..., pero que remedio ! Al menos atiendo al foro, como ves, subo Noticias a la web y adelanto el trabajo que puedo, pero el trabajo se atrasa y no se puede dar el servicio que haría falta ! ms.

[Acuario71]

Bueno antes de cambiar la extension de ambos archivos posteo el analisis realizado por Virustotal de ambos archivos, es un poco largo pero espero q os ayude a determinar algo o a descartar:

--------------------------------------------------------------------------------------------------------------------

File name: [b]CAMTHWDM.sys[/b]

Submission date: 2011-03-07 21:30:08 (UTC)

Current status: queued (#2) queued (#2) analysing finished





[b]Result: 0/ 43 (0.0%)[/b]



results- Antivirus- Version- Last Update- Result

AhnLab-V3 2011.03.07.06 2011.03.07 -

AntiVir 7.11.4.100 2011.03.07 -

Antiy-AVL 2.0.3.7 2011.03.06 -

Avast 4.8.1351.0 2011.03.07 -

Avast5 5.0.677.0 2011.03.07 -

AVG 10.0.0.1190 2011.03.07 -

BitDefender 7.2 2011.03.07 -

CAT-QuickHeal 11.00 2011.03.07 -

ClamAV 0.96.4.0 2011.03.07 -

Commtouch 5.2.11.5 2011.03.07 -

Comodo 7907 2011.03.07 -

DrWeb 5.0.2.03300 2011.03.07 -

Emsisoft 5.1.0.2 2011.03.07 -

eSafe 7.0.17.0 2011.03.07 -

eTrust-Vet 36.1.8200 2011.03.07 -

F-Prot 4.6.2.117 2011.03.07 -

F-Secure 9.0.16440.0 2011.03.07 -

Fortinet 4.2.254.0 2011.03.07 -

GData 21 2011.03.07 -

Ikarus T3.1.1.97.0 2011.03.07 -

Jiangmin 13.0.900 2011.03.07 -

K7AntiVirus 9.92.4048 2011.03.07 -

Kaspersky 7.0.0.125 2011.03.07 -

McAfee 5.400.0.1158 2011.03.07 -

McAfee-GW-Edition 2010.1C 2011.03.07 -

Microsoft 1.6603 2011.03.07 -

NOD32 5934 2011.03.07 -

Norman 6.07.03 2011.03.07 -

nProtect 2011-02-10.01 2011.02.15 -

Panda 10.0.3.5 2011.03.07 -

PCTools 7.0.3.5 2011.03.07 -

Prevx 3.0 2011.03.07 -

Rising 23.48.00.06 2011.03.07 -

Sophos 4.63.0 2011.03.07 -

SUPERAntiSpyware 4.40.0.1006 2011.03.07 -

Symantec 20101.3.0.103 2011.03.07 -

TheHacker 6.7.0.1.145 2011.03.06 -

TrendMicro 9.200.0.1012 2011.03.07 -

TrendMicro-HouseCall 9.200.0.1012 2011.03.07 -

VBA32 3.12.14.3 2011.03.04 -

VIPRE 8630 2011.03.07 -

ViRobot 2011.3.7.4345 2011.03.07 -

VirusBuster 13.6.239.0 2011.03.07 -

Additional information-Show all

MD5 : 09d6e1a2de692f4460dbb9fa64b2c615

SHA1 : f3a55bfb981ae41b69df13ada82d1113d1ba18b8

SHA256: 791c752f13510e2f9e046223a01fb2de8676a15c69548b23257f6516bbd46ae0

ssdeep: 768:iJx3fFGItYuuOQSyA91fpML+/unBWuQ1f30HV4CcryQCTVKLRJfOk4z8jkkL7sd1:iVHQS9

1fpML+/ekrrry9C4Ij7S1

File size : 941784 bytes

First seen: 2009-09-19 14:26:30

Last seen : 2011-03-07 21:30:08

TrID:

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: eCode Sky Network Technology Co., Ltd.

WoSign Code Signing Authority

UTN-USERFirst-Object

signing date.: 2:15 PM 3/11/2008

verified.....: -



PEInfo: PE structure information



[[ basic data ]]

entrypointaddress: 0xC54

timedatestamp....: 0x479AE659 (Sat Jan 26 07:50:49 2008)

machinetype......: 0x14c (I386)



[[ 6 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

.text, 0x300, 0x1EEA, 0x1F00, 6.60, 6170833f79041b09d90fabd753da5cca

.rdata, 0x2200, 0x44A, 0x480, 2.74, f6756a40a9cae0c129a4ddc500e6ed13

.data, 0x2680, 0xE14C4, 0xE1500, 0.70, 38adbd64dfd9d5bf237f35b8bf6384b2

PAGECONS, 0xE3B80, 0xA0, 0x100, 3.94, ec838239e4e4483a63643f890604f083

INIT, 0xE3C80, 0x290, 0x300, 4.58, 44a5fbbb8df8aae8acd00e72ddd95df0

.reloc, 0xE3F80, 0x7D4, 0x800, 1.47, 3feae13d8dd5208d3bf09da929cce4b8



[[ 3 import(s) ]]

NTOSKRNL.EXE: KeInitializeSpinLock, RtlCompareMemory, ExFreePool, ExAllocatePoolWithTag, MmMapLockedPages, memmove, IofCompleteRequest

HAL.DLL: KeGetCurrentIrql, KfAcquireSpinLock, KfReleaseSpinLock

STREAM.SYS: StreamClassDeviceNotification, StreamClassGetDmaBuffer, StreamClassRegisterAdapter, StreamClassStreamNotification, StreamClassQueryMasterClockSync, StreamClassScheduleTimer, StreamClassRegisterFilterWithNoKSPins, StreamClassGetPhysicalAddress



VT Community

-------------------------------------------------------------------------------------------------------------------------------------------

File name: [b]startoffice.exe[/b]

Submission date: 2011-03-07 21:42:07 (UTC)

Current status: queued queued (#2) analysing finished



Result: [b]2/ 39 (5.1%)[/b]



[u]Antivirus- Version- Last Update- Result [/u]

AhnLab-V3 2011.03.07.06 2011.03.07 -

AntiVir 7.11.4.100 2011.03.07 -

Antiy-AVL 2.0.3.7 2011.03.06 -

Avast 4.8.1351.0 2011.03.07 -

Avast5 5.0.677.0 2011.03.07 -

AVG 10.0.0.1190 2011.03.07 -

BitDefender 7.2 2011.03.07 -

CAT-QuickHeal 11.00 2011.03.07 -

ClamAV 0.96.4.0 2011.03.07 -

Commtouch 5.2.11.5 2011.03.07 -

Comodo 7907 2011.03.07 -

Emsisoft 5.1.0.2 2011.03.07 -

eSafe 7.0.17.0 2011.03.07 -

eTrust-Vet 36.1.8200 2011.03.07 -

F-Prot 4.6.2.117 2011.03.07 -

Fortinet 4.2.254.0 2011.03.07 -

GData 21 2011.03.07 -

Ikarus T3.1.1.97.0 2011.03.07 -

Jiangmin 13.0.900 2011.03.07 -

K7AntiVirus 9.92.4048 2011.03.07 -

Kaspersky 7.0.0.125 2011.03.07 -

McAfee 5.400.0.1158 2011.03.07 -

McAfee-GW-Edition 2010.1C 2011.03.07 -

Microsoft 1.6603 2011.03.07 -

NOD32 5934 2011.03.07 -

nProtect 2011-02-10.01 2011.02.15 -

[b]Panda 10.0.3.5 2011.03.07 Trj/Nabload.DMH [/b]

PCTools 7.0.3.5 2011.03.07 -

Prevx 3.0 2011.03.07 -

Rising 23.48.00.06 2011.03.07 -

Sophos 4.63.0 2011.03.07 -

SUPERAntiSpyware 4.40.0.1006 2011.03.07 -

TheHacker 6.7.0.1.145 2011.03.06 -

TrendMicro 9.200.0.1012 2011.03.07 -

TrendMicro-HouseCall 9.200.0.1012 2011.03.07 -

VBA32 3.12.14.3 2011.03.04 -

VIPRE 8630 2011.03.07 -

[b]ViRobot 2011.3.7.4345 2011.03.07 Trojan.Win32.Goldun.368128.I[/b]

VirusBuster 13.6.239.0 2011.03.07 -

[u]Additional information[/u]

MD5 : f881ad3e68d70f1d65c98bf063246a8e

SHA1 : b38dd8538bf4aaadbed0fa2d1cc3257ca54e79ed

SHA256: de3f62861b93e00b0b624aa0ecf5e998937e3885b807a46d09fec906d68e6103

ssdeep: 6144:o7zJVF4Obrxqph4s8stCLJi3xTFdQ/dmd6lyhc4NOwMWIT6YI4aulAq4fVl:UJ/4ObrApy

s7RhT3ydm/ODWIT6YJBAqY

File size : 368640 bytes

First seen: 2007-10-24 08:48:28

Last seen : 2011-03-07 21:42:07

TrID:

Win32 Executable Borland Delphi 7 (69.1%)

Win32 Executable Borland Delphi 6 (27.0%)

Win32 Executable Delphi generic (1.5%)

Win32 Executable Generic (0.8%)

Win32 Dynamic Link Library (generic) (0.7%)

sigcheck:

publisher....: Sony Corporation

copyright....:

product......:

description..:

original name:

internal name:

file version.: 1.0.0.0

comments.....:

signers......: -

signing date.: -

verified.....: Unsigned



[b]PEiD: BobSoft Mini Delphi -> BoB / BobSoft [/b]

PEInfo: PE structure information



[[ basic data ]]

entrypointaddress: 0x4CB80

timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)

machinetype......: 0x14c (I386)



[[ 8 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

CODE, 0x1000, 0x4BBC8, 0x4BC00, 6.54, f9970ea7e48fa1a5ba5f3f85b7b57890

DATA, 0x4D000, 0x1124, 0x1200, 4.05, 1e6f8cd314fb1df8ddccd2c73e743306

BSS, 0x4F000, 0xBD9, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e

.idata, 0x50000, 0x1F62, 0x2000, 4.98, c05347d75a6b855bdac03f4218b11edb

.tls, 0x52000, 0x10, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e

.rdata, 0x53000, 0x18, 0x200, 0.21, 5f84fd7a6665e7dac4c7258919da69b9

.reloc, 0x54000, 0x5534, 0x5600, 6.67, 0eb220de05a4c7793b417f10d08bb294

.rsrc, 0x5A000, 0x5600, 0x5600, 4.22, 0d93bdf86adec37e7bef7d4724f4eb85



[[ 14 import(s) ]]

kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle

user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA

advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey

oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen

kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA

advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey

kernel32.dll: lstrcpyA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResetEvent, ReadFile, MulDiv, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTickCount, GetThreadLocale, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedExchange, FreeLibrary, FormatMessageA, FindResourceA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CompareStringA, CloseHandle

version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA

gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, RectVisible, RealizePalette, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, BitBlt

user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout

kernel32.dll: Sleep

oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit

comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create

shell32.dll: ShellExecuteA



ExifTool:

file metadata

CharacterSet: Windows, Latin1

CodeSize: 310272

Comments:

CompanyName: Sony Corporation

EntryPoint: 0x4cb80

FileDescription:

FileFlagsMask: 0x003f

FileOS: Win32

FileSize: 360 kB

FileSubtype: 0

FileType: Win32 EXE

FileVersion: 1.0.0.0

FileVersionNumber: 1.0.0.0

ImageVersion: 0.0

InitializedDataSize: 57344

InternalName:

LanguageCode: English (British)

LegalCopyright:

LegalTrademarks:

LinkerVersion: 2.25

MIMEType: application/octet-stream

MachineType: Intel 386 or later, and compatibles

OSVersion: 4.0

ObjectFileType: Executable application

OriginalFilename:

PEType: PE32

ProductName:

ProductVersion: 1.0.0.0

ProductVersionNumber: 1.0.0.0

Subsystem: Windows GUI

SubsystemVersion: 4.0

TimeStamp: 1992:06:20 00:22:17+02:00

UninitializedDataSize: 0



VT Community



Bueno, no me canso en decir gracias por el apoyo y bueno si este dia festivo no es del todo relajado esperaremos entonces a la semana Santa y asi podemos todos disfrutar de 4 dias enteros, q el año se hace muy largo y trabajar con el público (como tb hago yo) desgasta mucho, aunq en ocasiones tb aporta muchas satisfacciones. Un saludo.

[Acuario71]

Aprovecho tambien y relellendo el analisis q me hizo Panda Active Scan y que me detectó una amaneza de Peligrosidad Media (los otros dos q me pedisteis y os envié, q os he posteado con el analisis de Virus total, eran segun Panda de peligrosidad Baja), bueno pues cambié propiedades de windows para ver archivos ocultos y siguiendo la ruta del mensaje de Panda:

[b]Peligrosidad Media (1)

+ Trj/Agent.OKB ------------ Virus -------- Latente

1. c:\users\xemari\appdata\locallow\sun\java\deployment\cache\6.0\40\1dca2928-76e0e023[direct/cron.class][/b]



Analicé este archivo con Virustotal y me dio un mensaje bastante alarmante, 26 de 43 antivirus lo clasifican como malware, os lo envio como muestra para una mayor confirmación.



[b]Señalar q en la carpeta: c:\users\xemari\appdata\locallow\sun\java\deployment\cache\6.0\40 hay dos archivos iguales pero con distinta extension[/b], el segundo, el [b].IDX [/b]tambien lo analicé en VirusTotal y no me dio ningun mensaje desfavorable:



1dca2928-76e0e023

1dca2928-76e0e023.IDX



Procedo a hacer un nuevo analisis con Panda Active Scan por si me detecta algun otro Troyano o malware y a la espera de vuestras noticias sobre las muestras y de como proceder para eliminar o atajar estos ataques o archivos dañinos os mando un saludo y siento los tochos de información y si os estoy dando mucha lata. Gracias.

Jose Maria.

[msc hotline sat]

El primer analisis del VT es negativo:



File name: CAMTHWDM.sys

Submission date: 2011-03-07 21:30:08 (UTC)

Current status: queued (#2) queued (#2) analysing finished





Result: 0/ 43 (0.0%)



y el segundo no es significativo con solo 2 detecciones:



File name: startoffice.exe

Submission date: 2011-03-07 21:42:07 (UTC)

Current status: queued queued (#2) analysing finished



Result: 2/ 39 (5.1%)





Pero el otrop del que hablas ya es mas peligroso:





"Analicé este archivo con Virustotal y me dio un mensaje bastante alarmante, 26 de 43 antivirus lo clasifican como malware, os lo envio como muestra para una mayor confirmación."



Pero en cualquier caso cuando recibamos las muestras las monitorizaremos e informaremos del resultado.



saludos



ms, 8-3-2011

[msc hotline sat]

Recibidas las muestras solicitadas, son consideradas maliciosas, dado el resultado del preanalisis:



File name: 1dca2928-76e0e023

Submission date: 2011-03-08 11:47:56 (UTC)

Current status: finished

Result: 23 /38 (60.5%)

VT Community



malware

Safety score: 0.0%

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.03.08.00 2011.03.08 -

AntiVir 7.11.4.119 2011.03.08 JAVA/OpenConnect.DD

Antiy-AVL 2.0.3.7 2011.03.06 Trojan/Java.Agent

Avast 4.8.1351.0 2011.03.08 Java:Agent-DN

Avast5 5.0.677.0 2011.03.08 Java:Agent-DN

BitDefender 7.2 2011.03.08 -

CAT-QuickHeal 11.00 2011.03.08 -

ClamAV 0.96.4.0 2011.03.07 -

Commtouch 5.2.11.5 2011.03.08 Java/Agent.CP

Emsisoft 5.1.0.2 2011.03.08 Trojan.Java.Agent!IK

eSafe 7.0.17.0 2011.03.07 -

eTrust-Vet 36.1.8201 2011.03.08 Java/Koladeiter.A

F-Prot 4.6.2.117 2011.03.08 Java/Agent.CP

F-Secure 9.0.16440.0 2011.03.08 Trojan-Downloader:Java/OpenConnection.AY

Fortinet 4.2.254.0 2011.03.08 Java/OpenConnection.DD!tr.dldr

GData 21 2011.03.08 Java:Agent-DN

Ikarus T3.1.1.97.0 2011.03.08 Trojan.Java.Agent

K7AntiVirus 9.92.4054 2011.03.08 -

Kaspersky 7.0.0.125 2011.03.08 Trojan.Java.Agent.ak

McAfee 5.400.0.1158 2011.03.08 Exploit-CVE2010-0840

McAfee-GW-Edition 2010.1C 2011.03.08 Exploit-CVE2010-0840

Microsoft 1.6603 2011.03.08 Trojan:Java/Koladeiter.A

Norman 6.07.03 2011.03.08 JAVA/Dloader.AH

nProtect 2011-02-10.01 2011.02.15 -

Panda 10.0.3.5 2011.03.07 Trj/Agent.OKB

PCTools 7.0.3.5 2011.03.08 -

Prevx 3.0 2011.03.08 -

Rising 23.48.01.06 2011.03.08 -

Sophos 4.63.0 2011.03.08 Troj/JavaDl-BH

SUPERAntiSpyware 4.40.0.1006 2011.03.08 -

Symantec 20101.3.0.103 2011.03.08 -

TheHacker 6.7.0.1.145 2011.03.08 -

TrendMicro 9.200.0.1012 2011.03.08 JAVA_AGENT.TEH

TrendMicro-HouseCall 9.200.0.1012 2011.03.08 JAVA_AGENT.TEH

VBA32 3.12.14.3 2011.03.04 Trojan.Java.Agent.ak

VIPRE 8635 2011.03.08 Trojan.Java.Koladeiter.a (v)

ViRobot 2011.3.8.4347 2011.03.08 -

VirusBuster 13.6.239.0 2011.03.07 -

Additional informationShow all

MD5 : aedc7817fcfebf84d09af09f01ff49f0

SHA1 : ce50d6d8c0a37f635cf7d721f6a9099f3c86f9e0





File size : 7683 bytes





Pero al no tener extension, no podemos implementar su eliminacion en el ELISTARA. Borre dicho fichero manualmente.



y sobre esta otra:



File name: startoffice.exe

Submission date: 2011-03-08 12:23:20 (UTC)

Current status: finished

Result: 2 /43 (4.7%)

VT Community



not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.03.08.00 2011.03.08 -

AntiVir 7.11.4.119 2011.03.08 -

Antiy-AVL 2.0.3.7 2011.03.06 -

Avast 4.8.1351.0 2011.03.08 -

Avast5 5.0.677.0 2011.03.08 -

AVG 10.0.0.1190 2011.03.08 -

BitDefender 7.2 2011.03.08 -

CAT-QuickHeal 11.00 2011.03.08 -

ClamAV 0.96.4.0 2011.03.07 -

Commtouch 5.2.11.5 2011.03.08 -

Comodo 7914 2011.03.08 -

DrWeb 5.0.2.03300 2011.03.08 -

Emsisoft 5.1.0.2 2011.03.08 -

eSafe 7.0.17.0 2011.03.07 -

eTrust-Vet 36.1.8201 2011.03.08 -

F-Prot 4.6.2.117 2011.03.08 -

F-Secure 9.0.16440.0 2011.03.08 -

Fortinet 4.2.254.0 2011.03.08 -

GData 21 2011.03.08 -

Ikarus T3.1.1.97.0 2011.03.08 -

Jiangmin 13.0.900 2011.03.08 -

K7AntiVirus 9.92.4054 2011.03.08 -

Kaspersky 7.0.0.125 2011.03.08 -

McAfee 5.400.0.1158 2011.03.08 -

McAfee-GW-Edition 2010.1C 2011.03.08 -

Microsoft 1.6603 2011.03.08 -

NOD32 5935 2011.03.08 -

Norman 6.07.03 2011.03.08 -

nProtect 2011-02-10.01 2011.02.15 -

Panda 10.0.3.5 2011.03.07 Trj/Nabload.DMH

PCTools 7.0.3.5 2011.03.08 -

Prevx 3.0 2011.03.08 -

Rising 23.48.01.06 2011.03.08 -

Sophos 4.63.0 2011.03.08 -

SUPERAntiSpyware 4.40.0.1006 2011.03.08 -

Symantec 20101.3.0.103 2011.03.08 -

TheHacker 6.7.0.1.145 2011.03.08 -

TrendMicro 9.200.0.1012 2011.03.08 -

TrendMicro-HouseCall 9.200.0.1012 2011.03.08 -

VBA32 3.12.14.3 2011.03.04 -

VIPRE 8635 2011.03.08 -

ViRobot 2011.3.8.4347 2011.03.08 Trojan.Win32.Goldun.368128.I

VirusBuster 13.6.239.0 2011.03.07 -

Additional informationShow all

MD5 : f881ad3e68d70f1d65c98bf063246a8e

SHA1 : b38dd8538bf4aaadbed0fa2d1cc3257ca54e79ed



File size : 368640 bytes



publisher....: Sony Corporation

copyright....:

product......:

description..:

original name:

internal name:

file version.: 1.0.0.0



si bien el resultado del preanalisis no es significativo, procederemos a su monitorizacion e implementaremos su control y eliminacion, si procede en la siguiente version de nuestras utilidades, de lo cual informaremos



De momento, pruebe añadir .VIR a la extension de dicho fichero, dejandolo como startoffice.exe.vir , para que en el proximo reinicio no se cargue y nos informa si con ello y la eliminacion de la indicada anteriormente ya queda resuelto el problema, gracias



saludos



ms, 8-3-2011





NOTA: De todas formas, prodria ser un driver de Sony... dinos si tu equipo equipo algo de dicha firma... o se trata de un laptop VAIO de dicha firma... ms.

[Acuario71]

Bueno la cosa se ha complicado un poco. El archivo : File name: 1dca2928-76e0e023

está eliminado por completo sin consecuencias.



No obstante al intentar comprimir para enviar como muestra un nuevo archivo q Panda Active Scan me detecto como Troyano de Peligrosidad Baja:

c:\users\xemari\appdata\roaming\wmprwise.exe

me saltó un mensaje de Avast de alerta como diciendo algo así que habia detenido un rootkit-gen, me solicitó reiniciar el equipo para un analisis desde el arranque y así lo hice. Avast Free me analizó el pc (por cierto si es un labtop, un portatil Sony Vaio como comenté) en busca de virus. Se tiró como una hora analizando el pc y me ha detectado 11 troyanos q moví al baul. Diez de ellos dentro de una ruta similar al archivo borrado y especificado arriba del todo de este post, imagino q como el anterior son Troyanos de Java q Avast nombra como: Agent-DP [Trj] en algunos, Agent-DQ [Trj], en otros, Agent-DN [Trj] en otros, y OpenConnection-T [Trj] en otros.

El otro archivo movido al baul es el especificado en la ruta de arriba: c:\users\xemari\appdata\roaming\wmprwise.exe

que Avast califica como Rootkit-gen de Win32.



Mi pregunta es la siguiente, esos archivos infectados han sido movidos al baul (me dio miedo borrarlos, no sé si son importantes). Me recomendais q elimine esos archivos del baul por completo?



Dado que Panda ha sido uno de los Antivirus On line q mas me ha detectado estos Troyanos me he bajado la version de Evaluacion de Panda Internet Security 2011 para instalarla y probarla y si estoy conforme comprar la licencia. No obstante me pide q primero desinstale Avast, pero con estos archivos infectados en el baul y el pc con algunos Troyanos pululando me da miedo estar sin Antivirus aunq solo sea 15 minutos para poder instalar Panda. Q me recomendais??

Gracias nuevamente por vuestra ayuda y voy a proceder a hacer una copia de los archivos mas importantes del pc por si esto va a más.

Un saludo y espero vuestras indicaciones.

[msc hotline sat]

Si, los ficheros que tienes en el baul eliminalos, y desconecta el ordenador de internet y desinstala el AVAST ya que no deben haber dos AV en un mismo ordenador.



Luego instalas el que quieras y hasta el proximo virus !



Dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 9-3-2011