Otro de la Policia

[mana]

No puede ser que me toque otro...



Tras bloquearme en windows, he reiniciado en simbolo de sistema, pasado Elistara y no me detecta nada.



Despues he arrancado a modo seguro con red y he pasado el Sproces con el siguiente resultado:



(6-6-2012 14:56:55 GMT)

SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows Vista (TM) Home Basic (v6.0.6002)

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v9.0.8112.16421) 0

Equipo: PORTATIL1

Usuario: Avalora

Sesión de Usuario: Avalora



23 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WININIT.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\LSM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WBEM\UNSECAPP.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\USERS\AVALORA\DESKTOP\SPROCES.EXE

C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNSCFG.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [syshost32] C:\Users\Avalora\AppData\Local\{25CF87ED-DCCB-5C47-7F29-26B25EEB32E8}\syshost.exe

O4 - HKCU\..\Run: [96657D6E] C:\Users\Avalora\AppData\Roaming\Ooorrffl\10BBC81D96657D6EB569.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [oejhmpyzeinnklg] C:\ProgramData\oejhmpyzeinnklgmuaag.exe

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe" /start

O4 - HKLM\..\Run: [HDMICtrlMan] C:\Program Files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe

O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'Servicio de red')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: eBay - Compra, vende y diviértete - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/1185-44560-9400-3/4 (file missing)

O9 - Extra button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\BONJOUR\MDNSNSP.DLL

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_31) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} (Java Plug-in 1.6.0_31) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_31) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\Windows\System32\webcheck.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll



Información Adicional:

----------------------

WinSys\Drivers\adp94xx.sys (de 422968 bytes) () Adaptec, Inc.

WinSys\Drivers\athr.sys (de 909824 bytes) () Atheros Communications, Inc.

WinSys\Drivers\dxgkrnl.sys (de 638336 bytes) () Microsoft Corporation

WinSys\Drivers\hdaudbus.sys (de 561152 bytes) () Microsoft Corporation

WinSys\Drivers\http.sys (de 411648 bytes) () Microsoft Corporation

WinSys\Drivers\ksecdd.sys (de 440192 bytes) () Microsoft Corporation

WinSys\Drivers\ndis.sys (de 527848 bytes) () Microsoft Corporation

WinSys\Drivers\PEAuth.sys (de 878080 bytes) () Microsoft Corporation

WinSys\Drivers\spsys.sys (de 684032 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 717296 bytes) ()

WinSys\Drivers\tcpip.sys (de 905600 bytes) () Microsoft Corporation

WinSys\Drivers\Wdf01000.sys (de 503864 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

**O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (Eventlog) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: rimmptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimmptsk.sys

O23 - Service: rimsptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimsptsk.sys

O23 - Service: Ricoh xD-Picture Card Driver (rismxdp) - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rixdptsk.sys

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe

O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

**O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - %SystemRoot%\System32\svchost.exe -k secsvcs - %ProgramFiles%\Windows Defender\mpsvc.dll (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: TOSHIBA V92 Software Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Atheros Extensible Wireless LAN device driver (athr) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\athr.sys

O23 - Service: axvodka - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\axvodka.sys (file missing)

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltlo.sys

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltup.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbser.sys

O23 - Service: Intel(R) PRO/1000 NDIS 6 Adapter Driver (E1G60) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\E1G60I32.sys

O23 - Service: FwLnk Driver (FwLnk) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\FwLnk.sys

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: igfx - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd32.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RTKVHDA.sys

O23 - Service: Intel(R) High Definition Audio HDMI (IntcHdmiAddService) - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\drivers\IntcHdmi.sys

O23 - Service: IP in IP Tunnel Driver (IpInIp) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipinip.sys (file missing)

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files\Jumpstart\jswpsapi.exe

O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\WINDOWS\system32\msiexec /V (file missing)

O23 - Service: IPX Traffic Filter Driver (NwlnkFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkflt.sys (file missing)

O23 - Service: IPX Traffic Forwarder Driver (NwlnkFwd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkfwd.sys (file missing)

O23 - Service: Realtek 8169 NT Driver (RTL8169) - Realtek Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlh86.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

O23 - Service: Bluetooth ACPI (tosrfec) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfec.sys

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: UVCFTR - Chicony Electronics Co., Ltd. - C:\WINDOWS\SYSTEM32\Drivers\UVCFTR_S.SYS

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adp94xx.sys

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpahci.sys

O23 - Service: adpu160m - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu160m.sys

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu320.sys

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\djsvs.sys

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arc.sys

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arcsas.sys

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserid.sys

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserwdm.sys

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbmdm.sys

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\drivers\elxstor.sys

O23 - Service: HpCISSs - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\hpcisss.sys

O23 - Service: Intel RAID Controller Vista (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iastorv.sys

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\drivers\iirsp.sys

O23 - Service: ITEATAPI_Service_Install (iteatapi) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteatapi.sys

O23 - Service: ITERAID_Service_Install (iteraid) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteraid.sys

O23 - Service: LSI_FC - LSI Logic - C:\WINDOWS\system32\drivers\lsi_fc.sys

O23 - Service: LSI_SAS - LSI Logic - C:\WINDOWS\system32\drivers\lsi_sas.sys

O23 - Service: LSI_SCSI - LSI Logic - C:\WINDOWS\system32\drivers\lsi_scsi.sys

O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\drivers\megasas.sys

O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\drivers\megasr.sys

O23 - Service: Mraid35x - LSI Logic Corporation - C:\WINDOWS\system32\drivers\mraid35x.sys

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\drivers\nfrd960.sys

O23 - Service: N-trig HID Tablet Driver (ntrigdigi) - N-trig Innovative Technologies - C:\WINDOWS\system32\drivers\ntrigdigi.sys

O23 - Service: NVIDIA nForce RAID Driver (nvraid) - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

O23 - Service: QLogic Fibre Channel Miniport Driver (ql2300) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql2300.sys

O23 - Service: QLogic iSCSI Miniport Driver (ql40xx) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql40xx.sys

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\drivers\sisraid4.sys

O23 - Service: Symc8xx - LSI Logic - C:\WINDOWS\system32\drivers\symc8xx.sys

O23 - Service: Sym_hi - LSI Logic - C:\WINDOWS\system32\drivers\sym_hi.sys

O23 - Service: Sym_u3 - LSI Logic - C:\WINDOWS\system32\drivers\sym_u3.sys

O23 - Service: uliahci - ULi Electronics Inc. - C:\WINDOWS\system32\drivers\uliahci.sys

O23 - Service: UlSata - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata.sys

O23 - Service: ulsata2 - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata2.sys

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\drivers\vsmraid.sys



75 Servicios.

12 de Carga Automatica.

24 de Carga Manual.

39 Deshabilitados.





Si veo cosas raras como es la linea:



C:\Users\Avalora\AppData\Roaming\Ooorrffl\10BBC81D96657D6EB569.exe

[oejhmpyzeinnklg] C:\ProgramData\oejhmpyzeinnklgmuaag.exe



Igual hay algo más, pero eso ya os dejo a los expertos.



Gracias de antemano.



Mana

[mana]

He probado a buscar con el Elimover la ruta: C:\Users\Avalora\AppData\Roaming\Ooorrffl\10BBC81D96657D6EB569.exe, pero no me aparecía. Además, me he dado cuenta que era el archivo que habíamos corregido con el anterior del problema este de la Policia.



En cuanto al segundo (C:\ProgramData\oejhmpyzeinnklgmuaag.exe), tras localizarlo y renombrarlo a .VIR, he probado a arrancar nuevamente de forma normal y parece que todo funciona bien, o al menos no me sale la pantalla de la Policio.



Os envio muestra del citado archivo y quedo a la espera de que me digais algo.



Otra cosa... ¿es normal que el Sproces se guarde rutas anteriores?, lo digo porque aunque sale en el listado, no existe el fichero y además coincide con el otro que tuve hace un mes.



Gracias,



Mana

[msc hotline sat]

Pues aqui vemos 3 sospechosos:



C:\Users\Avalora\AppData\Local\{25CF87ED-DCCB-5C47-7F29-26B25EEB32E8}\syshost.exe



C:\Users\Avalora\AppData\Roaming\Ooorrffl\10BBC81D96657D6EB569.exe



C:\ProgramData\oejhmpyzeinnklgmuaag.exe





Añade .vir a la extension de cada uno de dichos ficheros, y tras reiniciar, envianoslos para analizar, e informaremos del resultado, aparte de implementar el control y eliminacikn del que proceda en la siguiente version del ELISTARA



saludos



ms, 6-6-2012








[quote]


ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES



Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos


[/quote]

[msc hotline sat]

Y recibido a ultima hora la muestra que dices, nadie detecta nada, pero mañana lo monitorizaremos e informaremos



SHA256: db2cbbe8e466e47afdb6e07d47502b82baede6906089521712d9ee5303c2bf3d

SHA1: 721433ca74d3e71af752abcd302ad53e24618b61

MD5: 6dc9c07e51fe304927b3607cc9f0c2e4

Tamaño: 42.3 KB ( 43302 bytes )

Nombre: oejhmpyzeinnklgmuaag.exe.Muestra EliMover v1.rar

Tipo: RAR

Detecciones: 0 / 42

Fecha de análisis: 2012-06-06 16:46:25 UTC ( hace 0 minutos )





Mira de enviarnos los otros dos, que tambien prometen...



saludos



ms, 6-6-2012

[mana]

C:\Users\Avalora\AppData\Local\{25CF87ED-DCCB-5C47-7F29-26B25EEB32E8}\syshost.exe - localizado y enviado



C:\Users\Avalora\AppData\Roaming\Ooorrffl\10BBC81D96657D6EB569.exe - en este me dice el Elimover que el fichero no existe.



C:\ProgramData\oejhmpyzeinnklgmuaag.exe - este es el ya enviado y el que al parecer no se ve nada.



Saludos,



Mana

[msc hotline sat]

Pues del que no se veia nada, la monitorizacion ha dado su fruto:



http://www.zonavirus.com/noticias/2012/variante-del-ransom-weelsofta-variante-de-virus-de-la-policia.asp



Por cierto, que este ya lo detectaba heuristicamente el ELISTARA, arrancando en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA !



Y ahora vamos a monitorizar el SYSHOST.EXE , del cual si que hay detecciones, pero habrá que verlo... Informaremos cuando lo tengamos claro



saludos



ms, 7-6-2012

[msc hotline sat]

Pues el SYSHOST es de armas tomar !



Parece una variante "mejorada" del CUTWAIL BE, por esto pasaremos a identificarlo como CUTWAIL-BF



En lugar de los 20 KB del antiguo, este ya tiene 400 KB, y el driver que lo protege lo lleva dentro, a diferencia del anterior que lo habia de descargar de internet



Vamos a controlarlo con la version del ELISTARA 25.64 de hoy, de lo cual editaremos noticia en cuanto acabemos, del cual añadiremos link a continuacion:



http://www.zonavirus.com/noticias/2012/nueva-variante-mejorada-de-cutwail-bf-y-su-fichero-sys-de-proteccion.asp



saludos



ms, 7-6-2012

[mana]

OK, esperaré entonces a la última versión del Elistara y lo pasaré en A MODO SEGURO CON SIMBOLO DE SISTEMA.



Reportaré resultados.



Gracias,



Mana

[msc hotline sat]

Mientras, además de añadir.VIR a la extension de los ficheros de marras, como indicamos ayer:





C:\Users\Avalora\AppData\Local\{25CF87ED-DCCB-5C47-7F29-26B25EEB32E8}\syshost.exe



C:\ProgramData\oejhmpyzeinnklgmuaag.exe





puedes hacerlo mismo con el SYS que encuentres con el ELIMD5 de este hash:



13339f3b12e3d2028d26d266e648f028





y para esto último, mejor arranca en modo seguro para ello ...





saludos



ms, 7-6-2012

[mana]

Prefiero esperar ya al Elistara. No creo que utilice el ordenador esta tarde.



¿El Elistara me eliminará también el SYS?



Gracias,



Mana

[mana]

Ya está pasada la última versión de hoy de Elistara, arrancando el ordenador en a modo seguro con simbolo de sistema, siendo su resultado el siguiente:



(7-6-2012 17:01:12 (GMT))

EliStartPage v25.64 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2012)

--------------------------------------------------

Usuario: Avalora

ID de Usuario: S-1-5-21-3802297777-2332870687-1221127720-1000



Lista de Acciones (por Acción Directa):

C:\ProgramData\OEJHMPYZEINNKLGMUAAG.exe.VIR --> Eliminado.

Entrada Eliminada [HKUS\S-1-5-21-3802297777-2332870687-1221127720-1000\...\Run] "OEJHMPYZEINNKLG"="C:\ProgramData\oejhmpyzeinnklgmuaag.exe"

Entrada Eliminada [HKUS\S-1-5-21-3802297777-2332870687-1221127720-1000\...\Run] "syshost32"="C:\Users\Avalora\AppData\Local\{25CF87ED-DCCB-5C47-7F29-26B25EEB32E8}\syshost.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-6-2012 17:11:32 (GMT))

EliStartPage v25.64 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2012)

--------------------------------------------------

Usuario: Avalora

ID de Usuario: S-1-5-21-3802297777-2332870687-1221127720-1000



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\OEJHMPYZEINNKLGMUAAG.EXE.MUESTRA ELIMOVER V1.4 --> Eliminado, Ransom.Weelsof.A

C:\Muestras\SYSHOST.EXE .MUESTRA ELIMOVER V1.4 --> Eliminado, Cutwail.BF

C:\Users\Avalora\MS.EXE --> Eliminado, Ransom.Weelsof.A

C:\Users\Avalora\AppData\Local\{25CF87ED-DCCB-5C47-7F29-26B25EEB32E8}\SYSHOST.EXE .VIR --> Eliminado, Cutwail.BF



Nº Total de Directorios: 24365

Nº Total de Ficheros: 122900

Nº de Ficheros Analizados: 32658

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4





Veo que ha detectado otro [b][u]C:\Users\Avalora\MS.EXE --> Eliminado, Ransom.Weelsof.A[/u][/b] con el que no contábamos.



Lo que ya no se, es si se ha eliminado el SYS relacionado con el Cutwail BF.



¿Tengo que hacer algo más o lo damos por solucionado?



Gracias,



Mana

[msc hotline sat]

El SYS protector del Cutwail es un driver, y si se ha podido eliminar este, es que se ha eliminado el SYS correspondiente, además se mira si existe un fichero inaccesible de las caracteristicas de dicho SYS, y si lo hubiera, prepararía su eliminacion en el siguiente reinicio.



Dos menos, el de la policia y este Cutwail, a ver cuanto tardas en pillar otro...



El que está de moda es el FAKEDOC, mirate la informacion para que puedas prepararte, y piensa que lo mas normal es que te entre por un falso DOC (recibido en un mail por ejemplo) , con icono de DOC, pero que si tienes visibles las extensiones verías que es un SCR...:



http://www.zonavirus.com/noticias/2012/nueva-utilidad-elifakeexe-para-control-del-malware-fakedoc-alias-dorfiel.asp



Hasta la proxima, damos el Tema por solucionado y procedemos a cerrarlo



saludos



ms, 8-6-2012