Problema Con System Tool 2011

[angelbachier]

Saludos! Desde hace 3 dias, al abrir un correo, se me infecto la computadora.

He intentado desactivar el virus con varios antivirus y tutoriales,

pero no he tenido exito.

He utilizado spyware doctor, Malwarebytes Anti-virus,

INCLUSO, utilice el Elistara, pero no me detecta nada.



Espero me puedan ayudar, por favor.



Muchas Gracias!

[msc hotline sat]

Pues posteanos el contenido de c:\infosat.txt, y aparte, lanza el SPROCES, pulsa en SALIR y posteanos tambien el C:\sproclog.txt



SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



saludos



ms, 23-3-2011

RPRCAG

[angelbachier]

Muchas gracias por la ayuda!

Aqui le envio el resultado con el Sproces.



Por cierto, de la unica manera que

mi computadora me dejó correr el

Sproces fue en "Safe Mode"

ya que el virus no me permite

abrir ningun tipo de programas

corriendo la computadora "Normal"



Muchas gracias por su atencion!

Buen Dia.



(24-3-2011 18:55:23 GMT)

SProces v5.2 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: ANGEL

Nombre Usuario: Owner



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\DOCUMENTS AND SETTINGS\OWNER\MY DOCUMENTS\DOWNLOADS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

O1 - Hosts: 127.0.0.1 activate.adobe.com

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngin0.dll (file missing)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: proTek browser enhancer - {9DD8465E-BBBF-4B12-8EAF-AED8EDAF5F34} - C:\WINDOWS\$NT0234Uninstall$\xprt.dll

O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngin0.dll (file missing)

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [bCeOfLbKpNp18101] C:\Documents and Settings\All Users\Application Data\bCeOfLbKpNp18101\bCeOfLbKpNp18101.exe

O4 - HKLM\..\Run: [SunKistEM] C:\Program Files\Digital Media Reader\shwiconem.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Recguard] %WINDIR%\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [Reminder] %WINDIR%\Creator\Remind_XP.exe

O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [GbpGSvc] C:\WINDOWS\system32\Eguiz.exe

O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS\VMSnap3.EXE

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"

O4 - Startup: qkboccm.lnk = C:\Program Files\34c03\qkboccm.exe

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Owner\Start Menu\Programs\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.5.0_02) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - AppInit_DLLs:

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll



Información Adicional:

----------------------

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 799744 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\HSF_CNXT.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\vmfilter303.sys (de 428160 bytes) () Vimicro Corporation

WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: BackupService - ArcSoft, Inc. - C:\Documents and Settings\Owner\Application Data\HP SimpleSave Application\uUACTokenSvc.exe

O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe

O23 - Service: HP CUE DeviceDiscovery Service (hpqddsvc) - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZinw12.dll

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZipm12.dll

O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: Zune Bus Enumerator Driver (zumbus) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\zumbus.sys (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Application Management (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: hpqcxs08 - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWBS2.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macronix MX987xx Family Fast Ethernet NT Driver (mxnic) - Macronix International Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\mxnic.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Alcor Micro Corp Reader (SunkFilt) - Alcor Micro Corp. - C:\WINDOWS\System32\Drivers\sunkfilt.sys

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys (file missing)

O23 - Service: vmfilter303 - Vimicro Corporation - C:\WINDOWS\SYSTEM32\drivers\vmfilter303.sys

O23 - Service: WAN Miniport (ATW) (wanatw) - America Online, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\wanatw4.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

O23 - Service: A4 TECH PC Camera H (ZSMC303) - Vimicro Corporation - C:\WINDOWS\SYSTEM32\Drivers\usbVM303.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe



40 Servicios.

12 de Carga Automatica.

24 de Carga Manual.

4 Deshabilitados.

[msc hotline sat]

Para que lo sepa, lo unico que hay que hacer para poder ejecutar cualquier aplicacion con este virus en memoria, es renombrarla por EXPLORER.EXE, tanto el ELISTARA, como el SPROCES, como cualquier otra, :)



y voy a mirar el log



vemos estos ficheros atipicos, si no los conoce ni son voluntarios, [b][i]añadales .VIR a su extensión y envienoslos para analizar:[/i][/b]



C:\WINDOWS\$NT0234Uninstall$\xprt.dll



C:\Program Files\Vuze_Remote\prxtbVuze.dll



C:\Documents and Settings\All Users\Application Data\bCeOfLbKpNp18101\bCeOfLbKpNp18101.exe [b][i]<--- muy sospechoso[/i][/b]



C:\WINDOWS\system32\Eguiz.exe [b][i]<--- muy sospechoso[/i][/b]



C:\Program Files\34c03\qkboccm.exe [b][i]<--- muy sospechoso[/i][/b]



y vea si tras reiniciar ya no persiste el problema





y a ver si encuentra este... C:\Documents and Settings\Owner\Start Menu\Programs\IMVU\Run IMVU.lnk , que puede estar oculto, al menos diganos lo que lanza el link y si lo encuentra, envienoslo.





y si no son voluntarias estas claves, eliminelas:



O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/ ... ontrol.cab



O23 - Service: Zune Bus Enumerator Driver (zumbus) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\zumbus.sys (file missing)



Para eliminarlas, lance el SPROCES, pulse en SCAN, marque dichas claves y selecciones ELIMINAR.







para enviarnos los ficheros, recordar:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 24-3-2011

[msc hotline sat]

Veo que está en línea. He estado añadiendo datos en el post anterior hasta ahora. Reviselo por favor, gracias.



saludos



ms, 24-3-2011

[angelbachier]

Gracias por los nuevos datos! Estuve pendiente.

Bueno, ya les envie las muestras.

Las unicas 2 que no pude enviarle fueron:



[b]Eguiz.exe



qkboccm.exe[/b]



Las busque, pero no las encontre por ningun lado!



Tampoco pude encontrar:



[b]IMVU\Run IMVU.lnk [/b]





Lo demas se lo pude encontrar y enviar.



Gracias por su ayuda siempre.



Saludos!

[msc hotline sat]

Pruebe si con el ELIMOVER las encuentra y las puede copiar a C:\muestras, desde donde poder enviarnoslas



C:\WINDOWS\system32\Eguiz.exe



C:\Program Files\34c03\qkboccm.exe





Con un copiar y pegar de cada una de ellas, y marque la casilla inferior derecha de renombrar el fichero original a .VIR , y tras reiniciar, envianoslas como ya sabe:





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp





casi seguro que son malwares...



Cuidado, puede que en lugar de Program Files la primera ruta sea Archivos de Programa





saludos



ms, 24-3-2011

[angelbachier]

Muchas gracias por su rapida contestacion.



Le cuento, descargue el Elimover, copie las dos

direcciones que me dijo y dice:



No Existe El Fichero.



Realmente no se de que otra manera encontrarlos.



Alguna otra sugerencia?



Muchas Gracias y Gracias Por Su Ayuda y Atencion!

[flacoroo]

bajate de nuevo el Elistara y ejecutalo en modo seguro, y nos pegas el resultado que se crea en C: infosat.txt



Saludos

[angelbachier]

Muchisimas Gracias por la ayuda!



Aqui les dejo el resultado del Elistara:



(24-3-2011 20:43:12 (GMT))

EliStartPage v22.88 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

SHELLEXECUTE=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(24-3-2011 20:52:53 (GMT))

EliStartPage v22.88 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9012

Nº Total de Ficheros: 91608

Nº de Ficheros Analizados: 24354

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[angelbachier]

Saludos!

Bueno, intente correr la computadora en modo "Normal"

y me dió tiempo a abrir el Task Manager

y pude detener el proceso de este archivo o file o exe:



[b]bCeOfLbKpNp18101.exe[/b]



Y al deshabilitar dicho archivo, la computadora me a respondido muy bien.



Luego, pude bajar el antivirus Avast Free Edition, el cual hasta el momento a registrado

un Malware y dos Url.



[b]Cual seria la sugerencia a seguir hasta este momento?[/b]



Muy Agradecido por su atincion y amabilidad respecto al asunto.

Entiendo que su labor en este programa es muy beneficiosa.

Gracias una ves mas.

[msc hotline sat]

Pues efectivamente, es uno de los que le deciamos que era muy sospechoso:



C:\Documents and Settings\All Users\Application Data\bCeOfLbKpNp18101\bCeOfLbKpNp18101.exe [b][i]<--- muy sospechoso[/i][/b]



y que le añadiera .VIR a la extension si no lo conocía. Si lo hubiera hecho ya no se le cargaría en memoria, pues sino, aunque haya detenido el proceso, cuando reinicie de nuevo volverá a cargarse.



De todas formas, como que espero que sea uno de los que nos ha enviado para analizar, cuando lo recibamos lo analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 25-3-2011





NOTA: Como cada viernes, las nuevas utilidades de hoy estarán disponibles en nuestra web a partir de las 15 h CET (las 10 AM en su zona) asi que a partir de esta hora descargue el ELISTARA 22.89 y pruebelo ... ms.

a

[msc hotline sat]

Conformo que en el fichero indicado se ha detectado y pasado a controlar, una variante de Fake Alert System Tool 2011 , asi como que en otro fichero enviado, en XPRT.DLL, se ha detectado un softare potencialmente indeseable PUP ADRotator que tambien pasamos a controlar con el ELISTARA 22.89 de hoy.



Tras probarlo, posteenos el resultado y vea si tras reiniciar ya no persisten las anomalias, y nos informa en cualquier caso



saludos



ms, 25-3-2011