Problema que no se soluciona con nada..Ayuda (SOLUCIONADO)

patquim · Mensaje por **patquim** » 24 Oct 2005, 23:27

Buenas, mi problema empezo hace unos días, tengo instalado en nod32 y me detecta el trojano Agent.CS en el archivo sdvd.dll en la carpeta system. No hay manera de borrarlo, ni en modo a prueba de fallos, ni desde el registro (al eliminar la clave del sdvd se regenera automaticamente). He notado tambien que el proceso de winlogon tiene consumo de cpu constante (cosa no muy normal, creo) y ademas se me modifica el archivo hosts constantemente añadiendo entradas de 127.0.0.1

He pasado el SpyBot y el Nod32 pero persiste el problema, tambien de vez en cuando se abren ventanas de internet explorer sin estar navegando y de vez en cuando se cae la conexion a internet.

Bueno, pego mi log a ver si veis como puedo solucionarlo...

Logfile of HijackThis v1.99.1

Scan saved at 23:09:53, on 24/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

F:\Per2Per\ABC31\abc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\NetLimiter\NetLimiter.exe

F:\Mis Documentos\Patricia\seguridad\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 217.127.9.187 L2authd.lineage2.com# Copyright (c) 1993-1999 Microsoft Corp.

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\system\sdvd.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Browser MOUSE\mouse32a.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129304736294

O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/es/es/tools/activex/fpu.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129305133622

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) -

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{74CA28C7-9346-4A42-8BD3-E4B0E50F0A57}: NameServer = 130.244.127.161,194.224.52.36

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\enj4l11q1.dll

O20 - Winlogon Notify: sdvd - C:\WINDOWS\system\sdvd.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Mensaje por **admin** » 25 Oct 2005, 00:36

Arranca en modo seguro y elimina las siguientes entradas

O1 - Hosts: 217.127.9.187 L2authd.lineage2.com# Copyright (c) 1993-1999 Microsoft Corp.

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\system\sdvd.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129304736294

O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/es/es/tools/activex/fpu.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129305133622

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\enj4l11q1.dll

O20 - Winlogon Notify: sdvd - C:\WINDOWS\system\sdvd.dll

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing)

Y nos cuentas q tal te ha ido...

patquim · Mensaje por **patquim** » 25 Oct 2005, 13:48

Bueno, he hecho lo que decis y el nuevo log es el siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 13:46:06, on 25/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Browser MOUSE\mouse32a.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis_1.99.1.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 217.127.9.187 L2authd.lineage2.com #crossworth # Copyright (c) 1993-1999 Microsoft Corp.

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\system\sdvd.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Browser MOUSE\mouse32a.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) -

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{74CA28C7-9346-4A42-8BD3-E4B0E50F0A57}: NameServer = 130.244.127.161,194.224.52.36

O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\lv4s09h7e.dll

O20 - Winlogon Notify: sdvd - C:\WINDOWS\system\sdvd.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

La linea del host no la he borrado porque es la de un servidor de juegos que utilizo. Como podeis ver las entradas de 020 de Winlogon Notify siguen existiendo ya que una vez borradas si le das a scan de nuevo vuelven a aparecer inmediatamente.

Siguen saliendo las ventanitas de internet explorer y se siguen añadiendo entradas en el host que no he metido yo.

Mirar a ver si hay algo que podamos hacer.

Gracias y perdonad por las molestias

Mensaje por **msc hotline sat** » 25 Oct 2005, 15:04

Sí, las modas cambian.

Hasta ahora la última era cargar los gusanos como modulos del Explorer.exe, en un Shell = m eb la linea de carha del Explorer.exe, la cual no debía eliminarse sino restaurarse eliminando el modulo (no con el HJT, claro) y de esi se cuidan nuestras utilidades como el ELISTARA.EXE

Pero la última es cargarlo a través de un módulo en el WinLogon, que tambien se carga, como el EXPLORER, aunque arranques en modo seguro.

En el caso del primero lo soslatabamos escogiendo arrancar en modo seguro en solo simbolo de sistema, ta qye asi no se carga el explorer, y nuestras utilidades siguien funcionando bajo esta ventana al DOS dentro de Windows, tanto XP como 2000,

Cabe probar lo mismo en este caso, y eliminar las claves arrancando en dicho modo.

Haremos pruebas esta tarde o buscaremos soluciones alternativas, de las que informaríamos como respuesta a este Tema

Igualmente pruebalo y mantennos informados como respuesta de este Tema, gracias

saludos

ms, 25-10-2005

Mensaje por **msc hotline sat** » 25 Oct 2005, 15:50

Acabamos de implementar en la ultima version del ELISTARA (10.48 ) la eliminacion de un W32/DELF (TS3.DLL) que se cargaba el un Win Logon Notify. si bien está por ver si serña suficiente arrancar normalmente o en mnodo seguro.

En la proxima version implementaremos la eliminacion de estas dos claves, pero necesitariamos muestras de las dos DLL para detectar y eliminar fichero por cadenas de detecciom:

O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\lv4s09h7e.dll

O20 - Winlogon Notify: sdvd - C:\WINDOWS\system\sdvd.dll

Por ello pedimos que nos envien estas dos DLL:

C:\WINDOWS\system32\lv4s09h7e.dll

C:\WINDOWS\system\sdvd.dll

anexadas a un mail a zonavirus@satinfo.es en cuyo texto indicaran referencia REF DLLLOGON y tras analizarlas implementaremos su control y eliminacion por cadenas en la siguiente version posterior a la recepcion de las muestras.

Esperamos las muestras.

saludos

ms, 25-10-2005

Mensaje por **msc hotline sat** » 25 Oct 2005, 20:10

Pendientes aun de recibir las muestras opara control por cadenas de estas DLL, genos implementado en la nueva version 10.49 del ELISTARA el conbtrol y eliminacion de estas claves "resistentes"

---v10.49-(25 de Octubre del 2005) (Muestras de (2)Abetterintrnt y para (2)Winlogon/Notify "Reliability" y "sdvd")

Descarguela y pruebela, y nos cuenta el resultado como respuesta de esta web. Ecidentemente le pedirá muestras, envienoslas si todavñia no lo ha hecho.

saludos

ms, 25-10-2005

patquim · Mensaje por **patquim** » 25 Oct 2005, 20:51

Acabo de mandaros los dll que solicitais, no se si habra llegado bien ya que me decia el servidor de correo que algunos archivos no se podian mandar.

De todos modos probare el programa ELISTARA para ver si soluciona el problema. Lo unico, tengo una duda, ¿lo ejecuto en modo normal o en modo seguro?

Gracias por vuestra atencion y tiempo.

patquim · Mensaje por **patquim** » 25 Oct 2005, 21:39

Bueno, asi estan las cosas en estos momentos....solo he podido mandar el sdvd.dll (espero que llegue bien) ya que el otro dll no podia mandarlo porque me decia que estaba en uso o que excedia el tamaño.

El programa EliStara no puedo bajarlo de la web ya que al pinchar en descarga se abre una ventanita muy pequeña y no veo nada mas..

He probado a borrar las claves en modo seguro y nada. Decis algo de arrancar en simbolo de sistema ¿eso es lo mismo que en modo seguro? Yo pensaba borrar las entradas desde msdos pero claro, el disco es ntfs y no lo veo desde msdos. Hasta he probado con un livecd de linux, pero es incompatible con mi monitor y no puedo hacer nada...

De momento para navegar tengo que utilizar el nod32 para evitar esas molestas paginas que aparecen cada poco y ademas el trojan Agent.CS no se quiere ir de mi pc.

A ver si entre todos podemos darle caza al trojano o lo que sea.

Saluditos y gracias por vuestro apoyo y conocimientos.

Mensaje por **msc hotline sat** » 26 Oct 2005, 07:55

Hay un problema de descarga del ELISTARA. Estamosm en ello

saludos

ms, 26-10-2005

Mensaje por **msc hotline sat** » 26 Oct 2005, 17:40

No solo ya está solucionado el problema de descarga del ELISTARA, sino que hemos subido la version v 10.50 en la que hemos implementado el control y eliminacion de las muestras recibidas ak respecto de este Tema, por lo cual recomendamos descargarla y probarla.

Esperamos sus noticias al respecto, gracias

saludos

ms, 26-10-2005

patquim · Mensaje por **patquim** » 26 Oct 2005, 22:44

He pasado el programa Elistara 1.50 en modo normal y nada y luego lo he pasado en modo a prueba de fallos y tampoco el Elistara me comunicaba que no podia borrar el archivo sdvd.dll y sigo con las mismas entradas en el log del hijackthis. Pero aki en nuevo log para que ver si hay alguna diferencia:

Logfile of HijackThis v1.99.1

Scan saved at 22:39:49, on 26/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Browser MOUSE\mouse32a.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 217.127.9.187 L2authd.lineage2.com #crossworth

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\system\sdvd.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Browser MOUSE\mouse32a.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) -

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{74CA28C7-9346-4A42-8BD3-E4B0E50F0A57}: NameServer = 130.244.127.161,194.224.52.36

O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\gpl8l33u1.dll

O20 - Winlogon Notify: sdvd - C:\WINDOWS\system\sdvd.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Bueno, la unica diferencia es que el nombre del dll de la entra 020 de winlogon Notify:reinstall ha cambiado, ya que cada vez que se intenta borrar se regera con otro nombre. Ese es el dll que no os pude enviar por correo ya que no deja el sistema.

¿Cómo lo veis vosotros?

Saludos

Mensaje por **msc hotline sat** » 26 Oct 2005, 22:56

Sï, el winlogon Notify hace lo mismo que un Shell del Explorer, se carga cuando se arranca aunque se haga a prueba de errores.

Pero vamos a probarla arrancamndo en modo seguro con solo simbolo de sistema, y en este modo, desde DOS bajo windows, ejecuta el nuevo ELISTARA pero desde el disco duro, mejor copiado en una carpeta dacil de acceder, pues en DOS es mas dificl acceder a mombres largos, quizas mejor la copias y ejecutas desde C:\ o sea desde el disrectorio raiz o principal.

Y tras ello, reinicias y nos cuentas el resultado, que espero habrña ido bien. Tambien antes es posible que no hubieras ejecutado el ELISTARA desde disco duro, y en el siguiente rearranque, que es cuando queremos finalizar el proceso, no lo haya encontrado por haber sacado el disquete, porque por teoría lo hemos hecho para que funcionara bien, y en las pruebas funcionó pero clarom en máquina piloto de laboratorio, no infectada por el virus sino implementado el virus, y lo virtual no es real...

Ya nos contarñas

saludos

ms, 26-10-2005

patquim · Mensaje por **patquim** » 26 Oct 2005, 23:43

He probado en solo simbolo de sistema como comentabais, y he ejecutado el nuevo elistara desde el disco duro y el mismo programa me decia que no lo podia borrar. Y cuando he reiniciado y he mirado con el hijackthis hay sigue y el antivirus lo sigue detectando.....Ademas para mas cachondeo ahora me salen ventanitas del winfixer que hacia tiempo que no las veia por el ordenador.

¿No hay ninguna manera de entrar en el ordenador desde msdos como se podia hacer antes con los discos fat32 pero para ntfs? ¿O da lo mismo borrar el archivo sdvd.dll si la entrada sigue existiendo en el registro...? es decir, ¿si consiguo borrar de algun modo el archivo sdvd.dll podria tener problemas en el arranque de windows por la existencia de esas entradas en el archivo de winlogon del registro?

Saludos

Mensaje por **msc hotline sat** » 27 Oct 2005, 19:29

Claro que hay manera, arrancando con el CD de instalacion y entrando en la consola de reuperacion

Pero lo estamos consiguiendo con el ELISTARA, simplemente arrancando en modo seguro y reiniciando para acabar el proceso

Quizas nos hemos pasado al decirte que lo hicieras en solo simbolo de sistema para ir mas seguros, pero pruebalo simplemnet como te acabo de decir.

saludos

ms, 27-10-2005

patquim · Mensaje por **patquim** » 28 Oct 2005, 20:34

He borrado el sdvd.dll desde Dos del modo habitual con unos disketes de arranque de DosNtfs. El programa EliStara no rula bajo Dos... pero los he borrado manualmente los dos dll raros.

He entrado en windows y de momento ya no sale la entrada del sdvd.dll pero la otra entrada del otro dll sigue apareciendo, cada vez con un nombre distinto. He pensado que si hago una copia de ese dll desde Dos lo mismo lo podria mandar por correo renombrandolo ya que no estaria en uso del sistema. ¿Os parece que lo mande para ver como ta la cosa?

De momento el Nod32 ya no me dice nada sobre alerta de Agent.CS ni Vundo ni nada, pero ese dll me mosquea mucho y ademas he visto un proceso de rundll32.exe que antes no me aparecia en procesos activos del sistema y que se conecta a internet, ya que me lo chiva el Netlimiter.

Gracias por el interes en mi problema. Saludos

Mensaje por **msc hotline sat** » 28 Oct 2005, 20:51

A ver, el ELISTARA corre perfectamente, igual que todas nuestras utilidades, en una ventana de DOS, bajo windows XP claro, para lo que se debe arrancar en la tercera opcion de modo seguro, que es ARRANCAR EN MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, compruebalo y lanzalo asi, pues no se trata solo de los ficheros, sino de claves y demas.

saludos

ms, 28-10-2005

patquim · Mensaje por **patquim** » 30 Oct 2005, 19:51

Efectivamente vuestras utilidades funcionan perfectamente desde un dos bajo windows. Pero de ese modo no me solucionan el problema, dicen que en el siguiente reinicio borran el dll pero cuando reinicia se vuelve a regenerar dicho dll con otro nombre.

He probado desde msdos para ntfs a borrar dicho dll y aunque desde alli si lo borra, en cuanto reinicio el ordenador y entra en windows vuelve a aparecer.

El sdvd.dll ya esta erradicado del ordenador y sus entradas de registro tambien.

Pero la entrada del Winlogon/Notify/DateTime no puedo borrarla ya que se crea al segundo de haberla borrado (en modo a prueba de fallos tambien)

Lo mismo desde msdos podria hacer una copia de ese dll sospechoso y mandarosla por correo para que la mirarais.

¿Os interesa que os la envie?

De todos modos la ayuda que me habeis ofrecido en este foro es de muy valiosa, por ello Muchas Gracias a todos.

P.D. Los dichosos popup siguen apareciendo.

Mensaje por **msc hotline sat** » 30 Oct 2005, 21:25

Por supuesto, envianosla cpn REF PATQUIM a zonavirus@satinfo.es y tras ello, arrancando en consola de recuperacion, eliminala y luego arranca en modo seguiro y lanza el ELISTARA

Realmente la eliminacion en el segundo reinicio no esta pensada para el caso de arrancar en modo seguro en solo simbolo de sistema, porque lo ha de poder hacer a la primera, pero...

Se las trae el bichejo este !!! Pero arrancando en consola de recuperacion no lo puede cargar y debe dejar eliminarla !!! Digo YO !

saludos

ms, 30-10-2005

patquim · Mensaje por **patquim** » 30 Oct 2005, 22:18

Vaya!!! He estado usando diferentes medios de eliminacion y ha desaparecido el dll. De todos modos no me dejaba copiarlo ni desde msdos a un diskette.

Para vuestra informacion al final he usado la herramienta de desinfeccion del Look2Me y ha funcionado con este dll extraño.

Ha desaparecio la entrada del Winlogon/Notify que hacia referencia a ese dll y de momento no veo anomalias en el pc. Han desaparecido tambien las conexiones a internet del Winlogon y Rundll32.exe

Y tambien ha desaparecido el proceso Rundll32.exe de la lista de procesos en uso.

Creo que de momento parece que está limpio el Pc. Muchisisimas gracias. Y siento no poder mandaros ese dll para que lo mirarais. Ya que no se iva con nada el jodio...

Gracias y Saludos. Un trabajo excelente el del foro.

Mensaje por **msc hotline sat** » 31 Oct 2005, 23:31

Pues celebtro que se haya solucionado el problema, y en consecuencia p`rocedemos a cerrar el Tema

No te preodcupes por el fichero. A diario recibimos muchas muestras repetidas y seguro que esta será una de ellas.

saludos

ms, 31-10-2005