Inicio extraño de mi ordenador, Troyano?

[kuncompra]

Hola,



Desde hace cierto tiempo cuando inicio Windows 7 se me abre una pantalla de MS-dos autamicamente y hace como si estuviera instalando algo y depsues se cierra.

Cuando empezó a hacer eso, le pase un scan con AVG (de pago) y no detecto nada. Pues instalé el Spybot y si me detecto algo pero era de Alexa ( como un seguimiento). Bueno borré ese registro con spybot, pero todavia me sigue apareciendo esa pantalla de ms-dos caundo inicio. Mi ordenador no funciona peor ni noto nada raro, pero hago transacciones bancarias ( Paypal, consultas de cuenta) con mi ordenador y ante la duda de que pueda ser un Trojan Dropper, me gustaria eleminar las dudas o problemas que tuviera.



¿Por favor que me aconsejais?



He hecho un log file con hijackthis si es de alguna ayuda.

[msc hotline sat]

Pues prueba el ELISTARA (con permisos de Administrador al ser windows 7)

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y si en el informe no detecta nada ni pide el envio de ninguna muestra sospechosas para analizar, lanza el SPROCES y posteanos el informe resultante:

SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Tras lanzarlo, pulsar en SALIR y con un copiar y pegar, nos posteas el contenido del C:\sproclog.txt en tu proximo post, como respuesta de este Tema

saludos

ms, 24-2-2011

[kuncompra]

Hola,



Acabo de descargar ElistarA y mi antivirus AVG ha detectado un Troyano SHeur3.BPYE en el fichero. Eso es normal, que hago, lo ejecuto? EL SMS me ha costado casi 3 € y ahora me salta con que contiene un troyano?



Por favor, contesten con brevedad.

[msc hotline sat]

Es un falso positivo de AVG



Desactiva dicho antivirus o arranca en MODO SEGURO y lanza la utilidad indicada !
-para tu tranquilidad, antes que tú lo han hecho hasta ahora 7.861.048 de usuarios de este foro

saludos

ms, 28-2-2011

[kuncompra]

Es un falso positivo de AVG

Desactiva dicho antivirus o arranca en MODO SEGURO y lanza la utilidad indicada !
-para tu tranquilidad, antes que tú lo han hecho hasta ahora 7.861.048 de usuarios de este foro

saludos

ms, 28-2-2011

Hola,

Siento haberles incordiado con mi pregunta. He hecho lo que me aconsejasteis y arancado el ordenador en modo seguro, para pasar el elistara. Lo hize y encontro un archivo infectado y lo limpio. Sin embargo eso no ha solucionado el problema y mi ordenador sigue abriendo ms-dos y cerrando cuando arranco el ordenador, tengo varias capturas de pantallas hechas por si lo quereis ver.

Ahora el sigiuente paso que me aconsejais es de bajarme sproces. Tengo que volver a mandar un sms o me sirve el sms del elistara? Y el Sproces es como el hijackthis? No me sirve ese programilla? En la pagina pone que el sproces funciona con windows XP, tengo windows 7 64-bit, funciona tambien con ese so?

Gracias de antemano por sus respuestas.

[kuncompra]

Hola,



Perdone le mando el informe de infosat.txt:



(28-2-2011 08:27:59 (GMT))

EliStartPage v22.70 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.

Detectado Alureon(mbr) en MBR del HD0

Restaurado MBR del HD0



(28-2-2011 08:39:43 (GMT))

EliStartPage v22.70 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\OEM\Preload\Autorun\DRV\Realtek Audio Generic Driver\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 33756

Nº Total de Ficheros: 243948

Nº de Ficheros Analizados: 68728

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(28-2-2011 09:02:45 (GMT))

EliStartPage v22.70 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-2-2011 09:13:44 (GMT))

EliStartPage v22.70 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 33754

Nº Total de Ficheros: 244219

Nº de Ficheros Analizados: 68737

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-3-2011 11:51:09 (GMT))

EliStartPage v22.70 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectado HOSTS no Standar.



(2-3-2011 12:04:06 (GMT))

EliStartPage v22.70 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 33957

Nº Total de Ficheros: 245011

Nº de Ficheros Analizados: 69089

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues no detectado ningun malware conocido, pasaremos a nuestra herramienta de investigación, el SPROCES:

Al no detectar nada ni pedir el envio de ninguna muestra sospechosas para analizar, lanza el SPROCES y posteanos el informe resultante:

SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Tras lanzarlo, pulsar en SALIR y con un copiar y pegar, nos posteas el contenido del C:\sproclog.txt en tu proximo post, como respuesta de este Tema

saludos

ms, 2-3-2011

[kuncompra]

Pues no detectado ningun malware conocido, pasaremos a nuestra herramienta de investigación, el SPROCES:

Al no detectar nada ni pedir el envio de ninguna muestra sospechosas para analizar, lanza el SPROCES y posteanos el informe resultante:

SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Tras lanzarlo, pulsar en SALIR y con un copiar y pegar, nos posteas el contenido del C:\sproclog.txt en tu proximo post, como respuesta de este Tema

saludos

ms, 2-3-2011

(2-3-2011 16:08:37 GMT)
SProces v5.0 (c)2010 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Windows 7 Home Premium (v6.1.7600)
Internet Explorer: (v8.0.7600.16385) 0
Nombre Equipo: KOEN-PC
Nombre Usuario: Koen

Procesos Activos:
C:\PROGRAM FILES (X86)\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE
C:\PROGRAM FILES (X86)\AVG\AVG10\AVGTRAY.EXE
C:\PROGRAM FILES (X86)\AVG\AVG10\IDENTITY PROTECTION\AGENT\BIN\AVGIDSMONITOR.EXE
C:\PROGRA~2\MICROS~1\OFFICE12\WINWORD.EXE
C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\WINWORD.EXE
C:\PROGRAM FILES (X86)\MICROSOFT\OFFICE LIVE\OFFICELIVESIGNIN.EXE
C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSWOW64\MACROMED\FLASH\FLASHUTIL10M_ACTIVEX.EXE
C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
C:\USERS\KOEN\DOWNLOADS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: %windir%\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG10\avgssie.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Aplicación auxiliar de inicio de sesión de Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - (no file)
O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe
O4 - HKCU\..\Policies\Explorer\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe
O4 - HKLM\..\Run: [AVG_TRAY] C:\Program Files (x86)\AVG\AVG10\avgtray.exe
O4 - HKLM\..\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe
O4 - HKLM\..\Policies\Explorer\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe
O8 - Extra context menu item: Anexar a PDF existente - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Anexar destino de vínculo a PDF existente - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir destino de vínculo a Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL
O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL
O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL
O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} (Device Detection) - http://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab
O16 - DPF: {61FA0CB0-0806-46EA-B784-0F843285BA23} (TuentiFotoUploader Control) - http://estaticosak1.tuenti.com/client_apps/TuentiPhotoUploader.31740.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O16 - DPF: {CAFEEFAC-0014-0002-0013-ABCDEFFEDCBA} (Java Plug-in 1.4.2_13) - http://java.sun.com/update/1.4.2/jinstall-1_4_2_13-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol hijack: about - (datos no accesibles)
O18 - Protocol hijack: dvd - (datos no accesibles)
O18 - Protocol hijack: its - (datos no accesibles)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG10\avgpp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll
O18 - Protocol hijack: mhtml - (datos no accesibles)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol hijack: ms-its - (datos no accesibles)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol hijack: tv - (datos no accesibles)
O18 - Protocol hijack: vbscript - (datos no accesibles)
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files (x86)\Windows Live\Mail\mailcomm.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

Información Adicional:
----------------------
Clave "HKLM\...\Image File Execution Options\IEInstal.exe"
"Debugger"="NULL1"

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - c:\Program Files (x86)\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Cortafuegos de AVG (avgfws) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG10\avgfws.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: WatchDog de AVG (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG10\avgwdsvc.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Packard Bell\Registration\GregHSRW.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: Updater Service - Acer - C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe
O23 - Service: Windows Live ID Sign-in Assistant (wlidsvc) - Microsoft Corp. - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adp94xx.sys (file missing)
O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpahci.sys (file missing)
O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys (file missing)
O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\DRIVERS\aliide.sys (file missing)
O23 - Service: amdsata - Advanced Micro Devices - C:\WINDOWS\system32\DRIVERS\amdsata.sys (file missing)
O23 - Service: amdsbs - AMD Technologies Inc. - C:\WINDOWS\system32\DRIVERS\amdsbs.sys (file missing)
O23 - Service: ADB Interface Driver (androidusb) - Google Inc - C:\WINDOWS\SYSTEM32\Drivers\smhwadb.sys (file missing)
O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arc.sys (file missing)
O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arcsas.sys (file missing)
O23 - Service: AVGIDSDriver - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSDriver.Sys (file missing)
O23 - Service: AVGIDSFilter - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSFilter.Sys (file missing)
O23 - Service: Broadcom NetXtreme II VBD (b06bdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\bxvbda.sys (file missing)
O23 - Service: Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 (b57nd60a) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60a.sys (file missing)
O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltLo.sys (file missing)
O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltUp.sys (file missing)
O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\Brserid.sys (file missing)
O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrSerWdm.sys (file missing)
O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbMdm.sys (file missing)
O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbSer.sys (file missing)
O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys (file missing)
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files (x86)\Ashampoo\Ashampoo HDD Control\Dfsdks.exe
O23 - Service: Broadcom NetXtreme II 10 GigE VBD (ebdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\evbda.sys (file missing)
O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\DRIVERS\elxstor.sys (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hauppauge SMS1000-based (hcw17bda) - Hauppauge Computer Works, Inc. - C:\WINDOWS\SYSTEM32\drivers\hcw17bda.sys (file missing)
O23 - Service: Hauppauge Consumer Infrared Receiver (hcw85cir) - Hauppauge Computer Works, Inc. - C:\WINDOWS\system32\drivers\hcw85cir.sys (file missing)
O23 - Service: HpSAMD - Hewlett-Packard Company - C:\WINDOWS\system32\DRIVERS\HpSAMD.sys (file missing)
O23 - Service: iaStorV - Intel Corporation - C:\WINDOWS\system32\DRIVERS\iaStorV.sys (file missing)
O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\DRIVERS\iirsp.sys (file missing)
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RTKVHD64.sys (file missing)
O23 - Service: LSI_FC - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_fc.sys (file missing)
O23 - Service: LSI_SAS - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas.sys (file missing)
O23 - Service: LSI_SAS2 - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas2.sys (file missing)
O23 - Service: LSI_SCSI - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_scsi.sys (file missing)
O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\DRIVERS\megasas.sys (file missing)
O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\DRIVERS\MegaSR.sys (file missing)
O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\DRIVERS\nfrd960.sys (file missing)
O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvm62x64.sys (file missing)
O23 - Service: Service for NVIDIA High Definition Audio Driver (NVHDA) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvhda64v.sys (file missing)
O23 - Service: nvlddmkm - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvlddmkm.sys (file missing)
O23 - Service: NVIDIA nForce 10/100/1000 Mbps Ethernet (NVNET) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvmf6264.sys (file missing)
O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvraid.sys (file missing)
O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvstor.sys (file missing)
O23 - Service: ql2300 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql2300.sys (file missing)
O23 - Service: ql40xx - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql40xx.sys (file missing)
O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys (file missing)
O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\DRIVERS\sisraid4.sys (file missing)
O23 - Service: SmartPhone dummy USB PNP Device (Normal) (smhwdev) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\smhwdev.sys (file missing)
O23 - Service: USB Device for Legacy Serial Communication (Normal) (smhwser) - Qualcomm Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\smhwser.sys (file missing)
O23 - Service: stexstor - Promise Technology - C:\WINDOWS\system32\DRIVERS\stexstor.sys (file missing)
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesDriver64.sys
O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\DRIVERS\viaide.sys (file missing)
O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\DRIVERS\vsmraid.sys (file missing)

Listado de Servicios (Deshabilitados):
--------------------------------------

71 Servicios.
14 de Carga Automatica.
57 de Carga Manual.
0 Deshabilitados.

[kuncompra]

Estimado señores,



Sigo en espera de algunas noticias vuestras.



He hecho todos los pasos que pedis y me he bajado los dos programas que pedis, previo pago claro esta, espero que no haya sido para nada.



en espera les saluda atentamente,



Kuncompra

[msc hotline sat]

A lo que comentas de "previo pago", recuerda que no pagas por las utilidades, sino solo por la descarga, pues aqui utilizamos una version de evaluacion gratuita para el foro.

Y bien que te ha ido !

Ahí tienes el probable malware:

C:\Windows\install\vvindows.exe

añade .VIR a la extension de dicho fichero, para que no se ponga en marcha a partir del proximo reinicio, y envianos dicho fichero para analizar:

ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



y como que tienes repetidas estas dos claves:

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL
O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL

lanza el LSPFIX para corregir lo que haya mal al respecto.



Manual LSP-Fix
Descargar LSP-Fix




saludos

ms, 7-3-2011


NOTA: Y por ultimo, vemos en el HOSTS entradas que pueden haber sido creadas por el malware. Como que el ELISTARA ya lo detectó y creó nuevo HOSTS, que por lo visto no se ha podido implementar (normal con algunos malwares) , arrastra el fichero HOSTS de C:\windows\system32\drivers\etc\ hasta el escritorio, y renombra el fichero HOSTS.tmp a HOSTS sin extension, luego borra el HOSTS del escritorio, que allí podrás.

[kuncompra]

Hola,

Gracias por su respuesta rápida y explicatoria. Perdone por mi tono impaciente, es que tengo muchas ganas de resolver esto y cada dia que pasa me pone más nervioso el malware.
Sin embargo, creo que estamos cerca de solucionarlo y le doy las gracias por ello. He reiniciado mi ordenador y no han vuelto a aparecer las instalaciones.
He renombrado el fichero como sugeriste y tambien le he enviado la muestra.
Mi pregunta es, si no puedo borrar ese fichero mejor? Y porque mis antivirus no detectaron ese malware? Ni el avg, ni el elistar ni el bitdefender online lo descubrieron.
También he descargado el programilla LSPfix y ejecutandolo no ha encontrado ningún problema.

Gracias por su ayuda.

Kun

[msc hotline sat]

Recibido el fichero pedido para analizar, pasamos a informarte al respecto:



Dicho fichero no es detectado actualmente por ningun antivirus, por lo que solo es sospechoso por su nombre (empieza por vv para parecer una w) y se pasa a la cola de los ficheros para monitorizar, lo cual se hará hoy y obraremos en consecuencia



File name: vvindows.vir.exe

Submission date: 2011-03-09 12:18:25 (UTC)

Current status: finished

Result: 0 /43 (0.0%)

VT Community



malware

Safety score: 0.8%

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.03.09.02 2011.03.09 -

AntiVir 7.11.4.136 2011.03.09 -

Antiy-AVL 2.0.3.7 2011.03.09 -

Avast 4.8.1351.0 2011.03.09 -

Avast5 5.0.677.0 2011.03.09 -

AVG 10.0.0.1190 2011.03.09 -

BitDefender 7.2 2011.03.09 -

CAT-QuickHeal 11.00 2011.03.09 -

ClamAV 0.96.4.0 2011.03.08 -

Commtouch 5.2.11.5 2011.03.09 -

Comodo 7925 2011.03.09 -

DrWeb 5.0.2.03300 2011.03.09 -

Emsisoft 5.1.0.2 2011.03.09 -

eSafe 7.0.17.0 2011.03.07 -

eTrust-Vet 36.1.8205 2011.03.09 -

F-Prot 4.6.2.117 2011.03.08 -

F-Secure 9.0.16440.0 2011.03.09 -

Fortinet 4.2.254.0 2011.03.09 -

GData 21 2011.03.09 -

Ikarus T3.1.1.97.0 2011.03.09 -

Jiangmin 13.0.900 2011.03.09 -

K7AntiVirus 9.92.4065 2011.03.09 -

Kaspersky 7.0.0.125 2011.03.09 -

McAfee 5.400.0.1158 2011.03.09 -

McAfee-GW-Edition 2010.1C 2011.03.09 -

Microsoft 1.6603 2011.03.09 -

NOD32 5938 2011.03.09 -

Norman 6.07.03 2011.03.08 -

nProtect 2011-02-10.01 2011.02.15 -

Panda 10.0.3.5 2011.03.09 -

PCTools 7.0.3.5 2011.03.09 -

Prevx 3.0 2011.03.09 -

Rising 23.48.02.05 2011.03.09 -

Sophos 4.63.0 2011.03.09 -

SUPERAntiSpyware 4.40.0.1006 2011.03.09 -

Symantec 20101.3.0.103 2011.03.09 -

TheHacker 6.7.0.1.146 2011.03.08 -

TrendMicro 9.200.0.1012 2011.03.09 -

TrendMicro-HouseCall 9.200.0.1012 2011.03.09 -

VBA32 3.12.14.3 2011.03.09 -

VIPRE 8645 2011.03.09 -

ViRobot 2011.3.9.4349 2011.03.09 -

VirusBuster 13.6.241.0 2011.03.08 -

Additional informationShow all

MD5 : aeec0405a1c587562275ab20cc6e3521

SHA1 : 750d74424e8fca55094bbcd264970da6e59ddc09





File size : 1169224 bytes



publisher....: Microsoft Corporation

copyright....: (c) Microsoft Corporation. All rights reserved.

product......: Microsoft_ Visual Studio_ 2005

description..: Visual Basic Command Line Compiler

original name: vbc.exe

internal name: vbc.exe

file version.: 8.0.50727.4927







Dado su hash, hemos mirado a qué podía corresponder y hemos visto que coincide con una version del VBC.EXE, aplicacion del Visual Studio de Microsoft







vbc.exe

Microsoft® Visual Studio .NET







Information about vbc.exe

Process Name

Microsoft® Visual Studio .NET



Application

Microsoft® Visual Studio .NET



Company

Microsoft Corporation



Last Update

2010-09-16 11:03:09



Further information

vbc.exe is part of Microsoft® Visual Studio .NET developed by Microsoft Corporation. This task is an important and required part of the Windows Operating system



File versions vbc.exe More info





Version number

MD5 Hash from vbc.exe

Size

Risk



10.0.30319.1

4281D0B796ABBE8D65A4BF7C7795C66B 2.148,3 KB



10.0.30319.1

C67D6E954C4B2A11D2FFA496CF44E7E4 3.096,3 KB



7.0.9951.0

7EE7523B8E3231B24228DF1AF98E6FF1 700,0 KB



7.10.6001.4

4986E50E5FCBC7F29DE3A61DF296F7AA 720,0 KB



7.10.6001.4

EE83D0ADC666D1F1EBD8E1ABA02D2509 720,0 KB



8.0.50727.1433

67F5238229333C061092F5A32E8C2EE1 1.145,0 KB



8.0.50727.1434

1C78D9A502EFFED950573EA2F8E89E89 1.761,0 KB



8.0.50727.1434

AFA2B456D8CE19B320E44AC35EC58773 1.145,0 KB



8.0.50727.3053

8FEE9A2354B3646A94DAEDB08B731DDA 1.145,0 KB



8.0.50727.3053

845E9F9A7DCEAAB03D58E1E25FE735EC 1.761,5 KB



8.0.50727.312

9CBBC18848C466E21FF527BDD339BB8F 1.130,0 KB



8.0.50727.312

86BABD2C76FCC03EE56ACCBC53887AA7 1.751,5 KB



8.0.50727.4016

A2F0D85E87268A0F4516D0BABF4B3F1E 1.142,3 KB



8.0.50727.4016

D751531C541F923302D2728A95D35390 1.758,3 KB



8.0.50727.4927

69C37A99418378E50BB0979761E2C074 1.758,3 KB



8.0.50727.4927

AEEC0405A1C587562275AB20CC6E3521 1.141,8 KB



9.0.30729.1

F219DA9CF8C9F13849C35FFCF6DC74D6 2.307,5 KB



9.0.30729.1

FDE05B629CCC93B8BA55167750BFE5A9







Se supone que es simplemente dicho fichero de microsoft renombrado... por esto nadie lo detecta como troyano, pero se ignora el propósito del que o quien lo ha hecho ...



De momento dejalo, ya que con la extension actual no será lanzado automaticamente, si bien ten cuidado porque lo has dejado ejecutable, ya que al no ver las extensiones, en lugar de vvindows.exe.vir como siempre aconsejamos, has puesto vvindows.vir.exe, pero en cualquier caso no será lanzado automaticamente por las claves en cuestion:



O4 - HKCU\..\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe

O4 - HKCU\..\Policies\Explorer\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe



O4 - HKLM\..\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe

O4 - HKLM\..\Policies\Explorer\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe





que es lo mas raro...



Tras monitorizarlo, seguiremos informando



saludos



ms, 9-3-2011

[msc hotline sat]

Pues tras monitorizarlo hemos visto que es el compilador de visual basic, y las claves de lanzamiento lo lanzan desde :

O4 - HKCU\..\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe
O4 - HKCU\..\Policies\Explorer\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe
O4 - HKLM\..\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe
O4 - HKLM\..\Policies\Explorer\Run: [WindowsUpdateServer] C:\Windows\install\vvindows.exe

No siendo virus, es anómalo tanto su nombre como su ubicación, así como dichas claves, elimina manualmente dicho fichero y con el SPROCES, selecciona SCAN; marca estas cuatro claves y pulsa en ELIMINAR

Si se regenerara solo, sin que nadie interviniera, nos lo dices y trataríamos de encontrar lo que lo causa, pero sino lo atribuiremmos a una manipulacion incorrecta de dicha aplicacion.

Dinos si tras ello y reiniciar ya todo se ha normalizado, gracias

saludos
ms, 9-3-2011