Wenas, resulta que hace unos dias he notado que el firewall de windows se ha desactivado solo y no me deja iniciarlo.
Tambien me aparece el icono de descargando actualizaciones de windows pero desaparece al rato sin haber finalizado la descarga,
se keda en el 15% y desaparece.
Al intentar pasar un antivirus online me dice que no lo puedo instalar , y que verifique si tengo acceso como administrador , y solo tengo una cuenta(la de administrador).Al intentar instalar el antivirus Bit defender me dice lo mismo.
Al apagar el ordenata me pone algo de que no se pudo inicializar drwin.exe o algo parecido.
Un antivirus online que he podido usar me dice que tengo infectados 8 ficheros con un BACKDOOR llamado prorat.
A ver si me puede ayudar alguien, ke no se ke es lo ke hay ke hacer para kitarlo.
Gracias
Archivos infectados (SOLUCIONADO)
-
mikerrazkin
- Mensajes: 7
- Registrado: 17 Oct 2005, 21:56
Prueba estas dos utilidades
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Informanos del resultado.
Saludos
maura63
ELITRIIP:
ELISTARA:
Informanos del resultado.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
No habíamos tenido incidencias anteriores con este PRORAT, al que McAfee detecta como Backdoor AVW:
http://vil.nai.com/vil/content/v_103064.htm
Con las utilidades conocidas no es probable que lo detecte, precisando lanzar un antivirus en modo seguro, lo cual podrá hacer si dispone de ADSL a traves de router, arrancando en modo seguro con funciones de red, y así acceder a:
https://www.virustotal.com/es/
Si no tuviera dichos medios, envienos ficheros infectados anecandolos a un mail dirigido azonavirus@satinfo.es en cuyo texto indicara referencia REF PRORAT y analizariamos las muestras y desarrollaríamos utilidad de eliminacion, o la incluiríamos en alguna ya existente, como la ELITRIIP, al incluir en ella los backdoors (IRCBOT: Gaobot, SDBOT), lo cual indicariamos al foro como siempre.
saludos
ms, 18-10-2005
Con las utilidades conocidas no es probable que lo detecte, precisando lanzar un antivirus en modo seguro, lo cual podrá hacer si dispone de ADSL a traves de router, arrancando en modo seguro con funciones de red, y así acceder a:
Si no tuviera dichos medios, envienos ficheros infectados anecandolos a un mail dirigido a
saludos
ms, 18-10-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
mikerrazkin
- Mensajes: 7
- Registrado: 17 Oct 2005, 21:56
Pasa los programas arrancando en modo seguro y desactiva la restauracion del sistema antes si usas XP.
Asi no estaran cargados y podras eliminar del todo.
Saludos
maura63
Asi no estaran cargados y podras eliminar del todo.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
mikerrazkin
- Mensajes: 7
- Registrado: 17 Oct 2005, 21:56
Haz esto y te diremos si lo hicistes bien
Bajar :
http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp
Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.
Saludos
maura63
Bajar :
Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Con el SPYBOT eliminaras los spywares y adwares que puedas tener, pero no el virus PRORAT o Backdoor AVW, ya que ni tan solo lo detectará.
Es conveniente que limpies los spywares, pero mucho mas un backdoor con el que te pueden controlar remotamente, y además sin enterarte !!!
No te preocupes de las entradas del registro si ya no tienes el fichero, no podrá ser ejecutado, y ya las eliminaremos, pero lo que no debes olvidar es el virus que detectaste cin un antivirus ONLINE y que no pudiste eliminar por estar en uso.
Tal como te je indicado, desarrollaremos una utilidad de eliminacion si nos envias el fichero que detectes con el ONLINE, si no lo puedes eliminar con tu antivirus, arrancando en modo seguro.
Y si ya lo ha podido eliminar de dicha manera, diganoslo para desestimar la implementacion del mismo en el ELITRIIP.
saludos
ms, 18-10-2005
Es conveniente que limpies los spywares, pero mucho mas un backdoor con el que te pueden controlar remotamente, y además sin enterarte !!!
No te preocupes de las entradas del registro si ya no tienes el fichero, no podrá ser ejecutado, y ya las eliminaremos, pero lo que no debes olvidar es el virus que detectaste cin un antivirus ONLINE y que no pudiste eliminar por estar en uso.
Tal como te je indicado, desarrollaremos una utilidad de eliminacion si nos envias el fichero que detectes con el ONLINE, si no lo puedes eliminar con tu antivirus, arrancando en modo seguro.
Y si ya lo ha podido eliminar de dicha manera, diganoslo para desestimar la implementacion del mismo en el ELITRIIP.
saludos
ms, 18-10-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
mikerrazkin
- Mensajes: 7
- Registrado: 17 Oct 2005, 21:56
Logfile of HijackThis v1.99.1
Scan saved at 20:44:08, on 18/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\services.exe
C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Archivos de programa\Belkin\Wireless Mouse Driver\MOUSE32A.EXE
C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NSMdtr.exe
C:\DOCUME~1\Mik\CONFIG~1\Temp\Rar$EX00.286\HijackThis.exe
C:\WINDOWS\system32\Notepad.exe
C:\hijack\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos
comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos
comunes\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [PowerTray] C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 10 run
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [PC-Duo System Snapshot] C:\PCD32\CLBOOT32.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Belkin\Wireless Mouse Driver\MOUSE32A.EXE
O4 - HKLM\..\Run: [DataLayer] C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Archivos de programa\Norton Personal Firewall\cfgwiz.exe /GUID
{257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security
Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Archivos de programa\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat
7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de
programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de
programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de
programa\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) -
http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) -
http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5068C1BD-F702-425A-A446-0E8B6CCCE9F3}: NameServer =
80.58.61.250,80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0C675F1-2D10-4EF0-9220-DE941E8AEC3E}: NameServer = 80.58.61.250
80.58.61.254
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Personal
Firewall\ISSVC.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems -
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec
Shared\CCPD-LC\symlcsvc.exe
Scan saved at 20:44:08, on 18/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\services.exe
C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Archivos de programa\Belkin\Wireless Mouse Driver\MOUSE32A.EXE
C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NSMdtr.exe
C:\DOCUME~1\Mik\CONFIG~1\Temp\Rar$EX00.286\HijackThis.exe
C:\WINDOWS\system32\Notepad.exe
C:\hijack\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos
comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos
comunes\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [PowerTray] C:\Archivos de programa\LopeSoft\Power Tray\PowerTray.exe
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 10 run
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [PC-Duo System Snapshot] C:\PCD32\CLBOOT32.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Belkin\Wireless Mouse Driver\MOUSE32A.EXE
O4 - HKLM\..\Run: [DataLayer] C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Archivos de programa\Norton Personal Firewall\cfgwiz.exe /GUID
{257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security
Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Archivos de programa\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat
7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de
programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de
programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de
programa\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{5068C1BD-F702-425A-A446-0E8B6CCCE9F3}: NameServer =
80.58.61.250,80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0C675F1-2D10-4EF0-9220-DE941E8AEC3E}: NameServer = 80.58.61.250
80.58.61.254
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Personal
Firewall\ISSVC.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems -
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos
comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec
Shared\CCPD-LC\symlcsvc.exe
Salu2
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Esta clave delata la presencia del PRORAT o Backdoor AVW.
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
Es importante que nos envies este fservice.exe de la carpeta de sistema para que podamos analizarlo e implementar en el ELITRIIP esta y las demas claves que no aparecen en el log y qie crea este backdoor, lo cual haremos en la siguiente version del ELITRIIP seguida a la recepcion de la muestra.
Mientras, hoy implementaremos una deteccion teorica, aunque no por cadenas, de este bicho, en la version que subiremos hoy a esta web de nuestro ELITRIIP.EXE
saludos
ms, 19-10-2005
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
Es importante que nos envies este fservice.exe de la carpeta de sistema para que podamos analizarlo e implementar en el ELITRIIP esta y las demas claves que no aparecen en el log y qie crea este backdoor, lo cual haremos en la siguiente version del ELITRIIP seguida a la recepcion de la muestra.
Mientras, hoy implementaremos una deteccion teorica, aunque no por cadenas, de este bicho, en la version que subiremos hoy a esta web de nuestro ELITRIIP.EXE
saludos
ms, 19-10-2005
Última edición por msc hotline sat el 25 Oct 2005, 05:15, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Otra cosa:
Hay algo mas en este equipo:
Tienes dos procesos de services.exe lanzados desde rutas diferentes. Uno es normal de windows, el que está en la carpeta de sistema, pero el otro que tienes en la carpeta de windows es muy posible que sea un malware, conocido o no:
C:\WINDOWS\system32\services.exe correcto
C:\WINDOWS\services.exe posible malware
En el mismo mail donde nos envies el fservice indicado en anteriores post, añadenos tambien el SERVICES.EXE que tienes en la carpeta de C:\WINDOWS y lo analizaremos e informaremos
saludos
ms, 19-10-2005
Hay algo mas en este equipo:
Tienes dos procesos de services.exe lanzados desde rutas diferentes. Uno es normal de windows, el que está en la carpeta de sistema, pero el otro que tienes en la carpeta de windows es muy posible que sea un malware, conocido o no:
C:\WINDOWS\system32\services.exe correcto
C:\WINDOWS\services.exe posible malware
En el mismo mail donde nos envies el fservice indicado en anteriores post, añadenos tambien el SERVICES.EXE que tienes en la carpeta de C:\WINDOWS y lo analizaremos e informaremos
saludos
ms, 19-10-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Bueno, vamos a subir la version 1.72 del ELITRIIP que ya controlará por descripcion este virus, debiendo añador que este SERVICES.EXE lanzadpo desde C:\WINDOWS es otro gusano del mismo virus, pero que la clave que lo lanza no es visualizada por el HJT.
Si bien esperamos las muestars para poder controlarlo por cadenas de deteccion, con esta version del ELITRIIP ta se eliminan estas claves asi como detectará los ficheros u pedirá miestras de los mismos para su control por cadenas.
saludos
ms, 19-10-2005
Si bien esperamos las muestars para poder controlarlo por cadenas de deteccion, con esta version del ELITRIIP ta se eliminan estas claves asi como detectará los ficheros u pedirá miestras de los mismos para su control por cadenas.
saludos
ms, 19-10-2005
Última edición por msc hotline sat el 19 Oct 2005, 14:53, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
mikerrazkin
- Mensajes: 7
- Registrado: 17 Oct 2005, 21:56
Ayer instale el kaspershy antivirus y creo que se han borrado los archivos que meindicais, por que no los encuentro en la carpeta t cuando arranco me sale una advertencia de windows diciendome que fservices.exe no pudo iniciarse ,esto es raro raro raro.Jeje
Muchas gracias por vuestra paciencia.
Ah se me olvidaba.
No se si tiene algo que ver pero desde que he puesto el kaspersky
mesalen notificaciones de ataques de red LOVESAN, ke nose que c**o es eso.
Muchas gracias por vuestra paciencia.
Ah se me olvidaba.
No se si tiene algo que ver pero desde que he puesto el kaspersky
mesalen notificaciones de ataques de red LOVESAN, ke nose que c**o es eso.
Salu2
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues es una lástima que hayas borrado los ficheros, pues habíamos preparado el ELITRIIP para controlarlo por cadenas, pero si ya lo has hecho, muerto el perro se acabó la rabia...
Y los ataques de LOVSAN son intentos de intrusion por el port NETBIOS 135 que deberían ser parados por el parche MS04-012 incluido en el SP2, que ya tienes, pero vuelve a lanzar un windowsupdate por si acaso estuviera dañado.
Y ya solucinado el problema, procedemos a cerrar el tema
saludos
ms, 19-10-2005
Y los ataques de LOVSAN son intentos de intrusion por el port NETBIOS 135 que deberían ser parados por el parche MS04-012 incluido en el SP2, que ya tienes, pero vuelve a lanzar un windowsupdate por si acaso estuviera dañado.
Y ya solucinado el problema, procedemos a cerrar el tema
saludos
ms, 19-10-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online