problemas virus mozilla

[ivanig]

Buenas tardes... desde hace unos dias estoy teniendo problemas con el mozilla firefox. Cuando estoy usandolo, me aparece continuamente una ventana emergente con 2 pestañas, una con una lista de archivos del directorio del mozilla y otra con una dirección muy estraña y que no puede abrir, esto continuamente.



ademas, el nod32 no para de lanzarme errores de un archivo situado en la carpeta drivers de windows llamado "afd.sys" y muchos bloqueos de direcciones ip.



No se como solucionarlo, porque se hace insoportable navegar con el mozilla.



adjunto captura de pantalla con la ventana emergente.



espero que me ayuden



mil gracias

[msc hotline sat]

Podría tratarse del virus SIREFEF, que usa nombres de ficheros .SYS de la carpeta C:\windows\system32\drivers\ , y que, SI ES EL CASO, descubriremos con el ELISIREF:



[b] ELISIREF.EXE [/b]

http://www.zonavirus.com/descargas/descargar-elisiref.asp



Si lo detecta, posiblemente pedirá reiniciar para completar la eliminación, hagalo y tras los reinicios necesarios, posteenos el informe con un copiar y pegar del ciontenuido de c:\infosat.txt.



Si no detecta nada, pruebe el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 26-12-2011

[ivanig]

En el buscador encontre el programa Elisirefef y este es el resultado:



(26-12-2011 17:53:49 (GMT))

EliSirefef v1.26 (c)2011 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.



(26-12-2011 18:04:41 (GMT))

EliSirefef v1.26 (c)2011 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 33183

Nº Total de Ficheros: 253800

Nº de Ficheros Analizados: 1945

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



al principio si que pone que ha detectado sirefef(rootkit) pero despues de reiniciar no ha encontrado ficheros infectados.



de momento no me ha vuelto a aparecer la ventana de mozilla, pero el nod32 sigue bloqueando direcciones URL e IPs.

[msc hotline sat]

Pues ya has visto que nuestras sospechas eran fundadas !:



(26-12-2011 17:53:49 (GMT))

EliSirefef v1.26 (c)2011 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

[i][b]Detectado Sirefef(RootKit)[/b][/i]

Reinicie el Sistema para Completar la Limpieza.



No vemos el informe del Sirefef indicando el siguiente analisis, tras el reinicio.



Quizas no apagaste el ordenador, y el SIREFEF puede mantenerse en memoria si el reinicio no es en frio. Y por supuesto que dicho reinicio ha de hacerse en MDOO NORMAL, pues en modo seguro no se relanzaría el ELISIREF (en tal caso no funcionan los RUNONCE).



Hoy, cuando arranques de nuevo, mira si se lanza automáticamente el ELISIREF y en tal caso posteanos de nuevo el contenido del C:\infosat.txt, que puede indicar que ya ha eliminado totalmente el dichoso SIREFEF .



Y si no se ve nada mas que lo que ya posteabas, lanza de nuevo el ELISIREF manualmente, a ver que nos dice.



saludos



ms, 27-12-2011





ANEXO:



Y lanza el SPROCES y pulsa SALIR, y a continuacion posteanos el contenido de C:\sproclog.txt, a ver si hay alguna clave que veamos corresponde a lo que te dice el NOD32 y la podemos anular manualmente.



Tambien iría bien que lanzaras el ELISTARA , no sea que además del SIREFEF, te hubiera entrado un PROXY-ELI y ello fuera la causa de lo que aun te incordia.



ms.

[ivanig]

Al encender de nuevo el ordenador el nod32 me lanza un mensaje, que ha encontrado el troyano Sirefef y lo elimina, pero al pasar elisirefef no encuentra nada y ademas encuentra muchos directorios con acceso denegado (aun lanzandolo en modo administrador).



muchas gracias por toda la ayuda

[ivanig]

este es el resultado del sproces:



(27-12-2011 12:27:46 GMT)

SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows 7 Ultimate (v6.1)

Internet Explorer: (v9.0.8112.16421) 0

Equipo: IVANANDREU-PORT

Usuario: Ivan Andreu

Sesión de Usuario: Ivan Andreu



83 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WININIT.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\LSM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATIESRXX.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATIECLXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\ATK HOTKEY\ASLDRSRV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\PROGRAM FILES\COMMON FILES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE

C:\PROGRAM FILES\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\DRIVERS\CDAC11BA.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\COMMON FILES\GTFLASHSWITCH\GTFLASHSWITCH.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\LOGMEIN\X86\LMIGUARDIANSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\PNKBSTRA.EXE

C:\PROGRAM FILES\SPLASHTOP\SPLASHTOP REMOTE\SERVER\SRSERVICE.EXE

C:\PROGRAM FILES\SPLASHTOP\SPLASHTOP SOFTWARE UPDATER\SSUSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTSRV.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVC.EXE

C:\PROGRAM FILES\INTEL\INTEL MATRIX STORAGE MANAGER\IAANTMON.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVCM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\DWM.EXE

C:\WINDOWS\SYSTEM32\TASKHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\TASKENG.EXE

C:\PROGRAM FILES\GOOGLE\UPDATE\GOOGLEUPDATE.EXE

C:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\PROGRAM FILES\ASUS\ATK MEDIA\DMEDIA.EXE

C:\PROGRAM FILES\ATKOSD2\ATKOSD2.EXE

C:\PROGRAM FILES\SPLASHTOP\SPLASHTOP REMOTE\SERVER\SRSERVER.EXE

C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\PROGRAM FILES\MOTOROLA\SMSERIAL\SM56HLPR.EXE

C:\PROGRAM FILES\COMMON FILES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\PROGRAM FILES\ADOBE\ACROBAT 9.0\ACROBAT\ACROTRAY.EXE

C:\PROGRAM FILES\INTEL\INTEL MATRIX STORAGE MANAGER\IAANOTIF.EXE

C:\PROGRAM FILES\ATK HOTKEY\HCONTROL.EXE

C:\PROGRAM FILES\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTMNG.EXE

C:\PROGRAM FILES\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\PROGRAM FILES\ATK HOTKEY\ATKOSD.EXE

C:\PROGRAM FILES\ATK HOTKEY\WDC.EXE

C:\PROGRAM FILES\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSA2DP.EXE

C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

C:\PROGRAM FILES\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTHID.EXE

C:\PROGRAM FILES\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTHSP.EXE

C:\PROGRAM FILES\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSAVRC.EXE

C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNETWK.EXE

C:\PROGRAM FILES\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSOBEX.EXE

C:\PROGRAM FILES\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTPROC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\NERO\UPDATE\NASVC.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\WINDOWS\SYSTEM32\PING.EXE

C:\WINDOWS\SYSTEM32\CONHOST.EXE

C:\USERS\IVAN ANDREU\DESKTOP\ELISTARA.EXE

C:\PROGRAM FILES\JAVA\JRE6\BIN\JAVAW.EXE

C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHFILTERHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\AUDIODG.EXE

C:\USERS\IVAN ANDREU\DESKTOP\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.3\bh\facemoods.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll

O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.3\facemoodsTlbr.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O4 - HKCU\..\Run: [FixMyRegistryTray] C:\Program Files\Smart PC Solutions\Fix My Registry\FixMyRegistryTray.exe

O4 - HKCU\..\Run: [AdobeBridge]

O4 - HKCU\..\Run: [SpeedUpMyPC] "C:\Program Files\Uniblue\SpeedUpMyPC\launcher.exe" -d 20000

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE

O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices

O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe

O4 - HKLM\..\Run: [facemoods] "C:\Program Files\facemoods.com\facemoods\1.4.17.3\facemoodssrv.exe" /md I

O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [NBAgent] "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart

O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"

O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe

O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"

O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')

O4 - Global Startup: Bluetooth Manager.lnk = C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Enviar a OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Anexar destino de vínculo a PDF existente - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\BONJOUR\MDNSNSP.DLL

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O16 - DPF: {62F9248E-CBA8-4137-AED9-7CCF1F5E032E} (Signer.SignerControl) - http://visado.coacm.org/objects/Signer-2_3_4.CAB

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll

O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL (file missing)

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL



Información Adicional:

----------------------

Error de Acceso de Lectura al MBR.

.scr: AutoCADScriptFile -> C:\Windows\system32\notepad.exe "%1"

WinSys\Drivers\adp94xx.sys (de 422976 bytes) () Adaptec, Inc.

WinSys\Drivers\bxvbdx.sys (de 430080 bytes) () Broadcom Corporation

WinSys\Drivers\dxgkrnl.sys (de 728448 bytes) () Microsoft Corporation

WinSys\Drivers\elxstor.sys (de 453712 bytes) () Emulex

WinSys\Drivers\hardlock.sys (de 676864 bytes) () Aladdin Knowledge Systems

WinSys\Drivers\http.sys (de 513536 bytes) () Microsoft Corporation

WinSys\Drivers\ndis.sys (de 712576 bytes) () Microsoft Corporation

WinSys\Drivers\PEAuth.sys (de 586752 bytes) () Microsoft Corporation

WinSys\Drivers\spsys.sys (de 405504 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 428088 bytes) ()

WinSys\Drivers\Wdf01000.sys (de 445008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMD External Events Utility - AMD - C:\WINDOWS\system32\atiesrxx.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Broker de inicio de sesión (ASBroker) - Cognizance Corporation - %SystemRoot%\System32\svchost.exe -k Cognizance - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll

O23 - Service: Canal de comunicación local (ASChannel) - Cognizance Corporation - %SystemRoot%\System32\svchost.exe -k Cognizance - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsChnl.dll

O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE

O23 - Service: CdaC15BA - Macrovision Europe Ltd - C:\Windows\system32\drivers\CDAC15BA.SYS

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Nod32 AV (EsetNod32Fix) - Unknown owner - C:\WINDOWS\Regedit.exe /s %WinDir%\Fix.reg (file missing)

**O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: GtFlashSwitch - OptionNV - C:\Program Files\Common Files\GtFlashSwitch\GtFlashSwitch.exe

O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Hardlock - Aladdin Knowledge Systems - C:\Windows\system32\drivers\hardlock.sys

O23 - Service: Servicio HP CUE DeviceDiscovery (hpqddsvc) - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll

O23 - Service: HP Network Devices Support (HPSLPSVC) - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k HPService - C:\Program Files\HP\Digital Imaging\bin\HPSLPSVC32.DLL

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe

O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe

O23 - Service: LogMeIn Kernel Information Provider (LMIInfo) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaInfo.sys

O23 - Service: LogMeIn Remote File System Driver (LMIRfsDriver) - LogMeIn, Inc. - C:\Windows\system32\drivers\LMIRfsDriver.sys

O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe

O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\Windows\system32\HPZinw12.dll

O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\Windows\system32\HPZipm12.dll

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

O23 - Service: rimmptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimmptsk.sys

O23 - Service: rimsptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimsptsk.sys

O23 - Service: Ricoh xD-Picture Card Driver (rismxdp) - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rixdptsk.sys

O23 - Service: Sentinel - SafeNet, Inc. - C:\WINDOWS\System32\Drivers\SENTINEL.SYS

O23 - Service: Splashtop® Remote Service (SplashtopRemoteService) - Splashtop Inc. - C:\Program Files\Splashtop\Splashtop Remote\Server\SRService.exe

O23 - Service: Splashtop Software Updater Service (SSUService) - Splashtop Inc. - C:\Program Files\Splashtop\Splashtop Software Updater\SSUService.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adp94xx.sys

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpahci.sys

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\djsvs.sys

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

O23 - Service: amdkmdag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\atikmdag.sys

O23 - Service: amdkmdap - Advanced Micro Devices, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\atikmpag.sys

O23 - Service: amdsata - Advanced Micro Devices - C:\WINDOWS\system32\drivers\amdsata.sys

O23 - Service: amdsbs - AMD Technologies Inc. - C:\WINDOWS\system32\DRIVERS\amdsbs.sys

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arc.sys

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arcsas.sys

O23 - Service: Controlador de minipuerto NDIS para controladora Gigabit Ethernet Atheros L1 (AtcL001) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\l160x86.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: atikmdag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\atikmdag.sys

O23 - Service: Broadcom NetXtreme II VBD (b06bdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\bxvbdx.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 (b57nd60x) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60x.sys

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltLo.sys

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltUp.sys

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\Brserid.sys

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrSerWdm.sys

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbMdm.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbSer.sys

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

O23 - Service: [CommView] Intel(R) PRO/Wireless 2915ABG Network Connection Driver for Windows 2000 (commiwi) - TamoSoft, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\commiwi.sys

O23 - Service: CommView Network Monitor (CV2K1) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\cv2k1.sys (file missing)

O23 - Service: Broadcom NetXtreme II 10 GigE VBD (ebdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\evbdx.sys

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\DRIVERS\elxstor.sys

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Hauppauge Consumer Infrared Receiver (hcw85cir) - Hauppauge Computer Works, Inc. - C:\WINDOWS\system32\drivers\hcw85cir.sys

O23 - Service: hpqcxs08 - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll

O23 - Service: HpSAMD - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\HpSAMD.sys

O23 - Service: Controladora RAID de Intel para Windows 7 (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iaStorV.sys

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\DRIVERS\iirsp.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: lmimirr - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lmimirr.sys

O23 - Service: LSI_FC - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_fc.sys

O23 - Service: LSI_SAS - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas.sys

O23 - Service: LSI_SAS2 - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas2.sys

O23 - Service: LSI_SCSI - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_scsi.sys

O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\DRIVERS\megasas.sys

O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\DRIVERS\MegaSR.sys

O23 - Service: ATK0100 ACPI UTILITY (MTsensor) - ATK0100 - C:\WINDOWS\SYSTEM32\DRIVERS\ATKACPI.sys

O23 - Service: Apple Mobile Device Ethernet Service (Netaapl) - Apple Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\netaapl.sys

O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link 5000 Series para Windows Vista de 32 bits (netw5v32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\netw5v32.sys

O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link para Windows Vista de 32 bits (NETwLv32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETwLv32.sys

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\DRIVERS\nfrd960.sys

O23 - Service: Nokia USB Phone Parent Driver (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Communication Driver (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: ql2300 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql2300.sys

O23 - Service: ql40xx - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql40xx.sys

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Driver For SINOSUN Trusted Platform Module (SinoTPM) - SINOSUN Technology Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\SinoTpm.sys

O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\DRIVERS\sisraid4.sys

O23 - Service: smserial - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\smserial.sys

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

O23 - Service: stexstor - Promise Technology - C:\WINDOWS\system32\DRIVERS\stexstor.sys

O23 - Service: Synth3dVsc - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\synth3dvsc.sys (file missing)

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

O23 - Service: Bluetooth COM Port (tosporte) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tosporte.sys

O23 - Service: Bluetooth RFBUS (tosrfbd) - TOSHIBA CORPORATION - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfbd.sys

O23 - Service: Bluetooth RFBNEP (tosrfbnp) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\Drivers\tosrfbnp.sys

O23 - Service: Bluetooth RFHID (Tosrfhid) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\Tosrfhid.sys

O23 - Service: Bluetooth Personal Area Network (tosrfnds) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfnds.sys

O23 - Service: Bluetooth Audio (TosRfSnd) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\drivers\tosrfsnd.sys

O23 - Service: Bluetooth USB Controller (Tosrfusb) - TOSHIBA CORPORATION - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfusb.sys

O23 - Service: @%SystemRoot%\system32\drivers\tsusbhub.sys,-1 (tsusbhub) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\tsusbhub.sys (file missing)

O23 - Service: [CommView] Atheros Wireless Network Adapter Service (ts_arusb) - TamoSoft - C:\WINDOWS\SYSTEM32\DRIVERS\ts_arusb.sys

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: VGPU - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\rdvgkmd.sys (file missing)

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\DRIVERS\vsmraid.sys

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe



117 Servicios.

34 de Carga Automatica.

81 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

Pues envianos este fichero sospechoso para analizar



C:\Program Files\facemoods.com\facemoods\1.4.17.3\facemoodssrv.exe



Ya que segun http://www.threatexpert.com/report.aspx?md5=9023491385b767f566e9dac0e6fd13d0





y envianos tambien este otro, que no está claro:



C:\Windows\system32\drivers\CDAC15BA.SYS



pues hay posibilidades... http://www.google.es/url?sa=t&rct=j&q=cdac15ba.sys&source=web&cd=20&ved=0CGMQFjAJOAo&url=http%3A%2F%2Fwww.pc1news.com%2Ffiles%2F1073341-cdac15ba-sys.html&ei=y935TsmBBYeZOrS79bgB&usg=AFQjCNE7twkKNtVTb9r1GlIF4lMuX3zOpg





Pare ello, recordar:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 27-12-2011

[ivanig]

enviados!



Voy a volver a pasar el elisirefef porque han vuelto a aparecer las ventanas.



un saludo!

[msc hotline sat]

Si, pero arranca en MODO SEGURO para lanzar el ELISIREF, ya que sino el NOD se carga y poco puede hacer entonces nuestra utilidad.



Luego los reinicios que te pida, hazlos en MODO NORMAL, para que funcione el RUNONCE.



y voy a pedir a ver si ha llegado alguna muestra tuya...

[msc hotline sat]

Recibidos los dos ficheros, y el facemoodssrv.exe

resulta sospechoso aunque ningun AV lo detecte, y pasa a monitorizacion



De momento añade .VIR a su extension, para que no se cargue .



Seguiremos informando, y mientras, pasa el ELISIREF en la forma indicada.



saludos



ms, 28-12-2011

[msc hotline sat]

La monitorizacion del Facemoodssrv.exe no ha ofrecido datos concluyentes sobre si considerarlo malware o no, pues por una parte queda residente y crea una class, pero ninguna clave que no lance en proximos reinicios...



En varias webs aparece como posible Backdoor, pero puede tratarse de un fichero con igual nombre y otro contenido.



De momento lo dejamos en standby, y le ofrecemos esta infomacion al respecto:



http://www.exedb.com/facemoodssrv.html



De todas formas, pruebe si añadiendo .vir al final de su extension persiste su problema o no, y en caso negativo, vuelvale a quitar dicho añadido.



Y nos comenta el resultado, gracias



saludos



ms, 28-12-2011

[ivanig]

he vuelto a pasar el elisirefef en modo a prueba de fallos y no encuentra nada, pero cuando arranco normal, el nod32 si que detecta el archivo fyd.sys como el troyano sirefef, situado en la ruta c:/windows/system32/drivers.

no se que hacer...

el problema ahora mismo es simplemente que el nod32 bloquea este archivo y varias urls a las que intenta acceder...

en cuanto al facemoodssrv.exe, era una extension que se me instaló con el modzilla firefox, y ya la he desinstalado, por lo que ese archivo ya esta eliminado.

[msc hotline sat]

Pues envianos el fichero en cuestion, fyd.sys, pero para ello arranca en MODO SEGURO CON FUNCIONES DE RED, para que no se cargue el NOD32 y te impida hacerlo.


[quote="ivanig"]el nod32 si que detecta el archivo fyd.sys como el troyano sirefef, situado en la ruta c:/windows/system32/drivers.[/quote]

Y al mismo tiempo envianos tambien ( o postea aqui su contenido) el C:\infosat.txt para ver cuales son los pasos que ha seguido el ELISIREF en esta caso.



saludos



ms, 2-1-2012

[ivanig]

Ya he enviado tanto el afd.sys como el infosat.txt



un saludo

[msc hotline sat]

Pues dentro de unas horas, cuando entremos a trabajar en SATINFO, nos lo darán para analizar e informaremos del resultado, y probablemente esta tarde, a las 19 h CEST, ya podrás descargar una nueva version del ELISIREF que controle tu nueva variante



Seguiremos informando



saludos



ms, 4-1-2012

[msc hotline sat]

No hemos recibido el fyd.sys indicado, quizas lo han parado los antivirus de los servidores de correo...


[quote="ivanig"]el nod32 si que detecta el archivo fyd.sys como el troyano sirefef, situado en la ruta c:/windows/system32/drivers.[/quote]

Recuerda enviarlo empaquetado con password virus, como indicamos en :



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 4-1-2012

[ivanig]

Hola, he ido a descargarme la nueva versión del sirefef y pone que tengo que enviar un sms... el anterior sirefef que me descargué era gratuito y la verdad es que no me gustaría pagar por algo que lo mismo ni me sirve...

muchas gracias.

[msc hotline sat]

Todas las utilidades que hacemos son para asociados a los servicios de asistencia tecnica de SATINFO, que tienen contrato anual para ello y se lo descargan de www.satinfo.es



Para los foreros de zonavirus ofrecemos que las puedan probar gratuitamente, si bien para mantenimiento del servidor de descargas hay que enviar un SMS, de coste mínimo comparado con el importe de dicho contrato, ya que el sueldo de los técnicos de SATINFO que analizamos las muestras y hacen las utilidades se paga cada mes ...



De todas formas con este SMS NO SE PAGA NI LA UTILIDAD NI A LOS TECNICOS. Es una colaboración altruista para pruebas de evaluacion.



Y como que hasta ahora no hemos recibido el fichero que te pediamos, no descargues la utilidad hasta que te digamos que lo hemos recibido, analizado y pasado a controlar con la version en la que hayamos implementado su control y eliminacion, claro.



saludos



ms, 5-1-2012

[ivanig]

perdon, el archivo era el afd.sys...



ya os lo he enviado...



un saludo!

[msc hotline sat]

El AFD.SYS sí que lo recibimos y tras analizarlo lo pasamos a controlar en la siguiente version del ELISIREF:



http://www.zonavirus.com/noticias/2012/nueva-variante-de-sirefef-zeroaccess.asp



Descarga la última versión disponible de dicha utilidad, y tras probarla y reiniciar si lo pide, posteanos el C:\infosat.txt para ve los procesos seguidos por dicha utilidad y su resultado.



A la vista del mismo sabremos si ya queda solucionado o si es que se está regenerando por algun dropper, e indicaremos los pasos a seguir para solucionarlo.



saludos



ms, 7-1-2012

[msc hotline sat]

Hemos vuelto a recibir el fichero afd.sys infectado por el SIREFEF, y que ya está controlado a partir del ELISIREF 1.31, como ya indicamos.



Descargue la ultima version de dicha utilidad ELISIREF.EXE y tras probarla, posteenos el contenido de c:\infosat.txt, para ver los procesos realizados y saber si ya se ha eliminado virus y carpeta "junction".



Y si es asi, diganos si persiste alguna anomalia o ya podemos dar por solucionado el Tema, gracias



saludos



ms, 9-1-2012