Detectado Spy.Zbot.VZA ó VZB (Rootkit) (TERMINADO)

[mana]

Buenas nuevamente, al final me tendreis que hacer un antivirus con mi nombre, porque vaya racha...



A raiz del error MBR, tratado en la dirección: https://foros.zonavirus.com/viewtopic.php?f=5&t=39510 y (Terminado), al no encontrarse nada raro en mi ordenador, a principios de semana, al entrar en Explorer me intentaba redireccionar a alguna página distinta de la deseada, dejandome a continuación bloqueado, tanto con el Explorer como con el Firefox.



La cosa es que me cargue en un pendrive el Elistara (creo recordar 24.92) y se me paraba al poco de empezar la exploración. Al no poder avanzar y pinchar en el botón de Salir, me anunciaba los siguiente:



"Detectado Spy.Zbot.VZA ó VZB", a la vez que me pedía que os enviase un fichero (lo cual hice) y que reiniciara para completar la eliminación.



Tras reiniciar y pasar nuevamente el Elistara (esta vez exploraba toda la C:), me decía al final lo mismo "Detectado Spy.Zbot.VZA ó VZB", reiniciar de nuevo.



A la tercera fue la vencida y parece que desaparecio.



En el Elistara 24.93 se incorporó la vacuna contra el referido "Rootkit", tal y como lo confirme tras pasarlo.



La cuestión es que hoy, entro en Explorer, busco una página de deportes, pincho en el enlace y me quiere volver a meter a otra página, la cual, además de pedirme que descargue un complemento (cosa que no hago), me bloquea el Explorer y ya no puedo volver a entrar (Fallo de Conexión).



Paso el Elistar 24.94 y me detecta exactamente lo mismo que lo comentado anteriormente, pidiéndome que os envíe un fichero (no se ya si el mismo que el otro día), lo cual voy a hacer en cuento os envíe este nuevo tema.



Os pego el Infosat de hoy:



(23-2-2012 16:56:29 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Batxi

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(23-2-2012 16:56:38 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(23-2-2012 16:56:43 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:56:47 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:56:51 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:56:54 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:56:55 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:56:56 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:56:56 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:56:57 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:56:58 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:56:59 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:00 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:02 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:02 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:03 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:04 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:05 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:06 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:06 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:06 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:06 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:12 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 0

Nº Total de Ficheros: 71

Nº de Ficheros Analizados: 67

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 16:57:44 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Cierre):

Detectado Spy.Zbot.VZA ó .VZB (RootKit)



(23-2-2012 16:59:49 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Batxi

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\B8DEA5BB8BE.EXE.Muestra EliStartPage v24.94

a "virus@satinfo.es". Gracias.

C:\$RECYCLE$\B8DEA5BB8BE.EXE --> Eliminado

Entrada Eliminada [HKUS\S-1-5-21-1202660629-1844237615-839522115-1004\...\Run] "YZ5CZHZY5D1F2Z2CBPNZIPXOLJC"="C:\$Recycle$\B8DEA5BB8BE.exe /q"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(23-2-2012 16:59:58 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(23-2-2012 17:08:11 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11691

Nº Total de Ficheros: 283582

Nº de Ficheros Analizados: 23068

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(23-2-2012 17:08:50 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Cierre):

Detectado Spy.Zbot.VZA ó .VZB (RootKit)



(23-2-2012 17:11:00 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Batxi

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004



Lista de Acciones (por Acción Directa):

Eliminada Carpeta "C:\$Recycle$"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(23-2-2012 17:11:09 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(23-2-2012 17:19:00 (GMT))

EliStartPage v24.94 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11691

Nº Total de Ficheros: 283584

Nº de Ficheros Analizados: 23069

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





La verdad es que estoy desesperado, porque no me da seguridad navegar por Internet, máxime cuando desconozco las consecuencias que puede llegar a ocasionar este Rootkit, que por el nombre parece un "espia".



Como siempre gracias por adelantado.



Otras cosa, si opinais que la mejor solución es que formatee el ordenador, decírmelo claramente, prefiero estar tranquilo por la red que con miedo a ser "observado".



Saludos

[msc hotline sat]

Está claro que el fichero que se le pide es otro no controlado:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\B8DEA5BB8BE.EXE.Muestra EliStartPage v24.94



Envienoslo y pasaremos a controlarlo, y cuidado con los pendrives ... !!! no vaya a ser que le esten infectando.



Por si acaso, vacune ordenador y pendrives con el ELIPEN:





[img]http://www.satinfo.es/blog/wp-content/uploads/2010/03/moltbetot.gif[/img]

y vacunar el ordenador y las unidades de pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/descargar-elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso



saludos



ms, 23-2-2012

[mana]

Ya está vacunado el ordenador, la confirmación:



(23-2-2012 18:09:20 (GMT))

EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



(23-2-2012 18:09:32 (GMT))

EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.

------------------------------------------

Configurado el AutoPlay por Unidad Lógica

para el Usuario de la Sesión. ('Batxi')





Aclarar que no uso habitualmente los pendrive, es más ha sido hoy para lanzar el Elistara.



Saludos

[msc hotline sat]

Supongo que habrás enviado el fichero pedido. Cuando mañana volvamos al trabajo en SATINFO, lo analizaremos e informaremos.



Ojala sea el que nos instala el codigo malicioso en el MBR:



[i][b]Error de Escritura en el MBR.[/b][/i]





Ya veremos !



Y formatear es el ultimo paso, que siempre intentamos evitar en lo posible.



Además, recuerda que formateando no se elimina el codigo del MBR, sino solo afecta la parte lógica, no la fisica de la que dicho sector forma parte.



saludos



ms, 23-2-2012

[mana]

Sí, el archivo si lo he enviado, no obstante os lo vuelvo a mandar por si las moscas...



Saludos y gracias

[mana]

Yo estoy con que se regenera de alguna manera... algo hay en el ordenador que no acabamos de localizar... mañana con ideas nuevas lo lograremos :D



Saludos

[msc hotline sat]

Si, lo volveremos a analizar, ya que otro con el mismo nombre se controló con el ELISTARA 24.93, mientras que de este pidió muestra la 24.94, asi que tendrá otro MD5 (será diferente):



http://www.zonavirus.com/noticias/2012/nueva-variante-spy-zbot-vzb-cazado-por-el-elistara-aun-no-detectado-por-ningun-antivirus.asp



Tras recibirlo y analizarlo, informarmos.



saludos



ms, 24-2-2012

[mana]

Ya lance el último Elistara de ayer viernes y eliminó el fichero que os envié de la carpeta de muestras. Parece que todo funciona correcto, pero la otra vez sucedió lo mismo, en cuanto estuve un rato en Internet, volvió a infectarse por le mismo bicho.



No se si tendrá algo que ver la noticia que poneis sobre el Trojan.Dropper.UAJ, dado que parece que son los sintomas que tengo yo con el navegador de Internet. Por curiosidad he pasado un buscador de C: y me aparecen 3 archivos comres.dll en tres subdirectorios distintos del directorio windos, concretamente en el "Servicepackuninstall", en el "system32" y en el "servicepackfiles\i386".



Más que nada por lo que comentas de la contraseña, dado que el otro día algo similar me sucedió no me entraba un password de toda la vida y me toco hasta cambiarlo (eso si, desde otro ordenador).



Si entendeis que puede tener algo que ver, ¿cómo lo reviso o que programa paso?



Saludos

[mana]

Nada... 20 minutos navegando y de repente empieza a trabajar el disco duro como ejecutando algo, me reinicia el ordenador y cuando me entra en el menu, sólo me aparece la foto que tengo en el escritorio, pero nada mas.



Estoy intentando arrancar a modo seguro o desde sistema y me reinicia constantemente.



Voy a probar con el CD de arranque y os cuento. Mi intención es ejecutar Elistara desde un pendrive.



Saludos

[mana]

No se que hacer... pensaba que arrancando con el disco de inicio de windows, podría tener acceso al pendrive y pasar el Elistara pero no lo consigo.



Solo me arranca en modo normal, pero no me sale nada mas que la foto.



Saludos

[mana]

Bueno al final con un Ctrl+Alt+Sup desde el escritorio, he conseguido lanzar el Elistara.



De momento ya me ha pedido que os envíe dos ficheros que dicen algo así como: _EX-68.exe y _EX-08.EXE, además de eliminar un troyano. Ahora esta explorando. Si consigo reiniciar bien reportare el infosat y enviare muestras.



Saludos

[msc hotline sat]

No, si no encuentras el comres.dll en C:\WINDOWS\, arrancando en modo seguro, no se trata del nuevo Trojan.Dropper.UAJ, pero por si estuviera oculto o con atributo de sistema, lanza el ELIMOVER buscando :



C:\windows\comress.dll



y para ello:


[quote="msc"]
ELIMOVER

http://www.zonavirus.com/descargas/descargar-elimover.asp





y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original,

ya que se trata de un malware
[/quote]



saludos



m,s, 25-2-2012

[msc hotline sat]

Aparte de lo que veo que has detectado ultimamente:



_EX-68.exe y _EX-08.EXE



y el infosat.txt, gracias



saludos



ms, 25-2-2012









NOTA:



ver http://es.pcthreat.com/parasitebyid-7598es.html

[mana]

Lo logre... lance el Elistara y tras reiniciar (manualmente) el PC, ya me salen los iconos y todo parece funcionar bien.



Pego el Infosat:



(24-2-2012 18:44:47 (GMT))

EliStartPage v24.96 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2012)

--------------------------------------------------

Usuario: Batxi

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(24-2-2012 18:44:56 (GMT))

EliStartPage v24.96 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(24-2-2012 18:46:15 (GMT))

EliStartPage v24.96 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2012)

--------------------------------------------------

Usuario: Batxi

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(24-2-2012 18:46:23 (GMT))

EliStartPage v24.96 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(25-2-2012 19:22:19 (GMT))

EliStartPage v24.96 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2012)

--------------------------------------------------

Usuario: Batxi

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004



Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\BATXI\CONFIGURACIÓN LOCAL\DATOS DE PROGRAMA\DB828BD9\X --> Eliminado

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\_EX-68.EXE.Muestra EliStartPage v24.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\TEMP\_EX-68.EXE --> Eliminado

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\_EX-08.EXE.Muestra EliStartPage v24.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\TEMP\_EX-08.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "MozillaAgent"="C:\WINDOWS\Temp\_ex-68.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(25-2-2012 19:22:27 (GMT))

EliStartPage v24.96 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(25-2-2012 19:30:45 (GMT))

EliStartPage v24.96 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 12692

Nº Total de Ficheros: 284737

Nº de Ficheros Analizados: 23025

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Además envío los ficheros de muestras, en total son 2.



Gracias.

[mana]

He lanzado el Sproces por si veis algo raro:



(25-2-2012 19:55:44 GMT)

SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: CASA

Usuario: Batxi

Sesión de Usuario: Batxi



33 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\DIVX\DIVX UPDATE\DIVXUPDATE.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\RESEARCH IN MOTION\USB DRIVERS\RIMBBLAUNCHAGENT.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\BATXI\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')

R0 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador')

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;127.0.0.1:9421 (0)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_es-ES;_rv:1.9.1.3)_Gecko/20090824_Firefox/3.5.3_(.NET_CLR_3.5.30729)_" -"http://cc.porsche.com/icc_euro/ui/pva/application/bpModules/interior_3D.jsp?pluginsInstalled=true&RT=1284018017146"

O4 - HKUS\S-1-5-21-1202660629-1844237615-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [APSDaemon] "C:\Archivos de programa\Archivos comunes\Apple\Apple Application Support\APSDaemon.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [RIMBBLaunchAgent.exe] C:\Archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE /tsr

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000 (User 'Administrador')

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab Class) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1240058879968

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_21) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll



Información Adicional:

----------------------

Error de Escritura en el MBR.

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\wdf01000.sys (de 444136 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: 5689 - Unknown owner - C:\DOCUME~1\Batxi\CONFIG~1\Temp\5689.sys (file missing)

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - %SystemRoot%\system32\svchost.exe -k netsvcs - C:\WINDOWS\System32\appmgmts.dll (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: WinPcap Packet Driver (NPF) (NPF) - CACE Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\NPF.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Smartphone BlackBerry (RimUsb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys (file missing)

O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

O23 - Service: 913D Camera (SQTECH913D) - Service & Quality Technology. - C:\WINDOWS\SYSTEM32\Drivers\Capt913D.sys

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)



26 Servicios.

6 de Carga Automatica.

16 de Carga Manual.

4 Deshabilitados.





Saludos

[msc hotline sat]

Pues igual que indicamos antes, con el ELIMOVER mira si encuentras este:



C:\DOCUME~1\Batxi\CONFIG~1\Temp\5689.sys (file missing)



y si es asi, nos lo envias





saludos



ms, 25-2-2012

[mana]

No, no aparece con el Elimover.



Saludos

[mana]

Esto es terrible.



Ahora, como he comentado, puedo arrancar normalmente, pero si quiero arrancar tras un F8, a modo de fallos normal, con red, o incluso desde dos, carga como siempre varios ficheros y llega un momento que reinicia sólo y no me permite iniciar de ninguna de las 3 maneras.



Al final voy a tener el peor bicho que se ha inventado...



Saludos

[msc hotline sat]

La unica ventaja de los malwares es que no atacan solo a uno, y asi podemos ver su accion generica, que a veces en uno solo es mas dificil.



De todas formas, si ya nos has enviado los ficheros _EX-68.exe y _EX-08.EXE, mañana los analizaremos e informaremos del resultado.



saludos



ms, 26-2-2012

[msc hotline sat]

Recibidas dos muestras para analizar, pasmos a controlarlas a partir del ELISTARA 24.97 que estará disponible en la web a partir de las 19 h CEST



Vea: http://www.zonavirus.com/noticias/2012/dos-nuevas-variantes-de-waledac-cazadas-por-la-heuristica-del-elistara.asp



saludos



ms, 27-2-2012

[mana]

Ya le he pasado el último Elistara, aquí los resultados:



(27-2-2012 13:10:52 (GMT))

EliStartPage v24.96 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2012)

--------------------------------------------------

Usuario: Batxi

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(27-2-2012 13:11:01 (GMT))

EliStartPage v24.96 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(27-2-2012 13:19:32 (GMT))

EliStartPage v24.96 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 12993

Nº Total de Ficheros: 285254

Nº de Ficheros Analizados: 23050

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-2-2012 19:23:12 (GMT))

EliStartPage v24.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Febrero del 2012)

--------------------------------------------------

Usuario: Batxi

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(27-2-2012 19:23:20 (GMT))

EliStartPage v24.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(27-2-2012 19:32:38 (GMT))

EliStartPage v24.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\_EX-08.EXE.MUESTRA ELISTARTPAGE V24.96 --> Eliminado, Waledac

C:\Muestras\_EX-68.EXE.MUESTRA ELISTARTPAGE V24.96 --> Eliminado, Waledac



Nº Total de Directorios: 13084

Nº Total de Ficheros: 285380

Nº de Ficheros Analizados: 23053

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2







He probado a reiniciar en modo seguro, con opciones de red y desde dos y me sigue sin funcionar (se reinicia solo). En modo normal parece que funciona bien.



Me preocupa el arranque en modo seguro, más que nada por si un día necesito reiniciar así.



Saludos,

[msc hotline sat]

Pues ahora que ya ha eliminado el Waledac, pruebe de lanzar el FIXMBR desde la consola de recuperacion, ya que sigue apareciendo el ERROR EN MBR.



Podría estar relacionado con lo del arranque en modo seguro...



Ya nos contará el resultado.



saludos



ms, 18-2-2012

[mana]

Ya he probado el FIXMBR y nada, sigue sin dejarme arrancar en las tres modalidades de modo seguro.



Observo que desde google, hay muchas veces que me quiere mandar a páginas raras, pero me salgo antes de que entre en las mismas.



Saludos

[msc hotline sat]

Bueno, pues buscando información sobre el problema del redireccionamiento del Google, me parece que he dado con la solucion:



Mira la informacion de http://es.pcthreat.com/parasitebyid-8095es.html



y prueba esta utilidad:



http://es.pcthreat.com/download/Spyware-Scanner8095p2s16.exe



Y cuentanos el resultado, gracias



saludos



ms, 28-2-2012

[mana]

No es free, hay que comprar el programa, te lo dice cuando ya ha chequeado todo y ni tan siquiera te da un Informe de resultados.



¿Algún otro programa?



Gracias y saludos.

[msc hotline sat]

Es cuestion de visualizar el informe final, aunque no puedas enviarnoslo, si ves que detecta algun fichero sospechoso, envianoslo y lo analizaremos



No conozco otra opcion por el momento.



saludos



ms, 29-2-2012

[mana]

Ok, así lo haré entonces... os digo algo.



Gracias

[msc hotline sat]

Si te sirve de consuelo, non eres el unico con dicho problema, y estamos en ello



Hasta ahora con lo que decia el informe del lik, parecía ser la optima, a ver si nos puedes enviar los ficheros de marras y los controlamos...



Creo que el problema estará en la caché del navegador, pero a ver quien es el que lo provoca ???



saludos



ms, 29-2-2012

[mana]

Veamos, espero que sirva para colaborar en esta lucha de bichos...



El programa en cuestión clasifica los malware que encuentra de más "dañino" a menos.



He descartado los de menos daño, dado que son en su mayoría "Spyware cookies".



Los más importantes, he logrado junto con el Eli Mover localizarlos y comprimirlos en Rar, cuya copia os voy a mandar según detallo sus nombres:



[u]Daño máximo (10 sobre 10)[/u]:

- Malware.Generic ................. fichero en C:\WINDOWS\System32\nvsvc32.exe

- Trojan.Generic ................... fichero alojado en C:\WINDOWS\jestertb.dll

- Trojan.Magania .................. fichero en C:\lc.exe

- Worm.Taterf.B ................... ficheros (2) en C:\l61yyp.exe y C:\n0qls.exe



[u]Menor daño (8 sobre 10)[/u]:

- Pwsteal.Frethog.gen!H ......... fichero en C:\imghyva6.exe



[u]Daño (7 sobre 10)[/u]:

- Worm.Taterf.DM ................ fichero en C:\9rfpp.exe



Además de estos, en un grado menor de daño (5 sobre 10), me aparecía un tal Alexa, pero sin fichero ejecutable, iba con una ruta HKCU.



¿Qué tal lo he hecho?



Saludos,

[msc hotline sat]

pUES MUY BIEN HECHO, SI SEÑOR !



No da tiempo a monitorizarlas hoy, pues nos vamos en 5 minutos, pero mañana lo haremos y comentaremos



Aparte, existe otra posibilidad, que es el fichero LMHOST*.* (normalmente es LMHOST.SAM, que es solo de muestra) y que podría redireccionar la navegacion



Mira si encuientras ficheros de estas caracteristicas y nos los envias para analizar



Estan en C:\windows\system32\drivers\etc\ , donde tambien está el HOST, pero este ya lo controlamos con el ELISTARA, en cambio el LMHOST no, y pudiera ser...



A ver si encuentras alguno mas que el LMHOST.SAM y nos lo envias



Y si los encuentras, y despues de enviarlo quieres añadirles .VIR a su extension, y probar si persiste el problema... nos cuentas el resultado



saludos



ms, 29-9-2012