SLASDTOPN. ¿Es un troyano, virus?

[Skapeloko]

Hola.

Desde hace unos días, al reiniciar el ordenador y ejecutar el Adaware y Adwatch, me aparecen detecciones de modificación del registro. Concretamente la última vez en más de 300.000 ocasiones (mientras escribo ahora lleva ya más de 3.000).

Pone:



Fecha/Hora: Detectada una modificación del registro.

Raíz: HKEY_LOCAL_MACHINE

Clave: Software/Microsoft/Windows/Current Version/Run

Valor: DRam prosessor

Dato:

Nuevo dato: slasdtopn.exe





El adaware no me resuelve el problema, y el spybot deja sin eliminar 5 programas que están en memoria, y dice que en el siguiente reinicio podría corregirlo, pero en cada reinicio hace lo mismo.



Si me podéis ayudar, os lo agradacería.



Un saludo. :D

[maura63]

Arranca en modo seguro desactivando antes la restauracion del sistema y lanza Ad_aware y Spybot eliminando basura.



No hay informacion al respecto, si quieres envia muestra de slasdtopn.exe



Saludos

maura63

[msc hotline sat]

Pues muy activo está el nuevo bebé...!!!



Enviando cuanto antes muestra de este slasdtopn.exe a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques la referencia REF slasdtopn y tras su examen haremos utilidad de control y eliminacion y te informaremos como respuesta de este Tema.



saludos



ms, 14-11-2005

[Skapeloko]

Entendido.

Volveré a pasar el adaware y el spybot y os cuento.

Ya he remitido muestra del slasdtopn a donde me dijísteis.



Gracias y un saludo. :D

[msc hotline sat]

Recibido un .PF es un prefetch, no es valido como muestra, ya que solo es un extracto del fichero.



Esperamos muestra del EXE correspondiente, gracias



saludos



ms, 14-11-2005

[Skapeloko]

No sé cómo encontrar el ejecutable que hace falta.

Pasando el spybot y el adaware en modo seguro y con la restauración del sistema desactivada, ha dejado de actuar el slasdtopn; el ordenador ha funcionado aproximadamente una hora bien, y ha empezado a hacer lo mismo (intentar modificar el registro), otro programa que se llama ryndxaidc.exe (ya llevo bloqueados 57.000 intentos).



Voy a volver a reiniciar en modo seguro, pasar el spybot, etc., e intentar enviar una muestra (esto último no sé si sabré).



Un saludo y gracias.

[msc hotline sat]

Posiblemente haya cambiado de nombre, para despistar, y ahora se haga llamar ryndxaidc.exe



Efectivamente, con la referencia ta indicada anteriormente, para seguir en el mismo Tema, envianos muestra de este nuevo fichero o del que veas que actua en tal sentido, se llame como se llame.



saludos



ms, 15-11-2005

[Skapeloko]

Hola otra vez.

No consigo encontrar el ejecutable, sino que sólo aparece el archivo con extensión -pf de la carpeta prefetch.



¿Hay algún modo de encontrar ese programa para adjuntároslo?



Un saludo y gracias.

[maura63]

Comprueba que se muestren archivos y carpetas ocultas del sistema.



Saludos

maura63

[msc hotline sat]

Paralelamemte a lo indicado por maura63, a ver si puedes encontrar dicho fichero para enviarnoslo (y podrías probar el moverlo a otra carpeta, para que al reiniciar no lo pudiera poner de nuevo en marcha), conviene ver donde se carga y como, y si queda residente, etc, para lo que te pedimos nos postees el log resultante de lanzar un HiJackThis:







[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]





En tu proximo post, de respuesta de este Tema, peganoslo y tras analizarlo te informaremos al respecto.



saludos



ms, 15-11-2005

[Skapeloko]

Hola de nuevo.



Os pego el log del hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 15:46:59, on 15/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ryndxaidc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\AVerTV\QuickTV.exe

C:\WINDOWS\System32\wuauclt.exe

C:\ARCHIV~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe

C:\Documents and Settings\Windows XP\Escritorio\ANTIVIRUS, SPY, ETC\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wlvvk.dll/sp.html#28129

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.el-mundo.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wlvvk.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wlvvk.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wlvvk.dll/sp.html#28129

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe

O4 - HKLM\..\Run: [DRam prosessor] ryndxaidc.exe

O4 - HKLM\..\RunServices: [DRam prosessor] ryndxaidc.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV\QuickTV.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe





Ya he conseguido encontrar el ejecutable del ryndxaidc y lo mando por mail.



Un saludo y gracias.

[maura63]

Entre varios sospechosos



O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe



Prueba



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Y espera respuesta del que has enviado.



Saludos

maura63

[msc hotline sat]

Efectivamente, los pokapoka??.EXE son Elite Tool Bars controlados por el ELISTARA, o en su defecto, se aparca el troyano a cuarentena y se pide muestra del desconocido, para implementar la eliminacion de las nuevas claves que dicha variante pudiera crear.



Pero no creaba estos ficheros aleatorios y menos estos ataques y el cambio de nombre de fichero al cabo de unos dias...



Y como indica maura63 hay varios ficheros sospechosos, aparte de un Startpage que aparece por ahi, por lo que el ELISTARA irá muy bien , desde luego, pero quizas no es suficiente y justamente tiene en proceso uno de los nombres buscados, y que quizas no lo encuentra, si se esconde cuando está en uso:



O4 - HKLM\..\Run: [DRam prosessor] ryndxaidc.exe



Mire de arrancar en modo seguro y buscar el fichero en cuestion, con un Inicio -> buscar ryndxaidc.exe



Si lo encientra, muevalo a otra carpeta y en el siguiente reinicio elimine la clave arriba indicada.



Y tras reiniciar, envienos dicho fichero tal como le decíamos en otros post, pero mientras ya no estará en uso.



saludos



ms, 15-11-2005

[msc hotline sat]

Recibida muestra del RYNDXAIDC.EXE ha resultado ser una variante del SDBOT.



Lo pasamos a controlar y eliminar con la nueva version del ELITRIIP que ya se ha subido a esta web:



---v1.76---(16 de Noviembre del 2005) (Muestra de Sdbot.worm.gen.BI y para el IRCBot.PH de VSAntiVirus)



Para descargarla:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Esperamos que tras probarla nos informen del resultado, comor espuesta de este Tema, gracias



saludos



ms, 16-11-2005

[Skapeloko]

Hola.

No he respondido antes porque no consigo que me funcione el elistara. Prácticamente no llega a abrirse y se queda en una pantalla que pone procesando archivos y claves.



Voy a pasar el Elitriip a ver qué tal y os respondo.



Un saludo y gracias.

[msc hotline sat]

Lanzalo arrancando en modo seguro, y sino, aplica esto e informanos:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 16-11-2005


Nota: E informamos también del resultado del ELITRIIP, gracias. ms.

[Skapeloko]

Hola.

En cuanto pueda arranco en modo seguro a ver si funciona el elistara.

El Elitriip perfecto. Me detectó tanto el ryndxaidc como el slasdtopcn y ahora el ordenador parece que funciona perfectamente.



Un saludo y gracias de nuevo.

[Skapeloko]

Hola otra vez.



Como os dije anteriormente, ahora el ordenador va fenomenal. Muchas gracias.



En cuanto al Elistara, he lanzado la versión pruebas y lo último que sale es "BHOS OK". Luego se abre una ventana que pone "Procesando 807 Files y 1206 Class" y ahí se queda bloqueado. Sólo puedo cerrarlo desde el admnistrador de tareas y entonces dice que el programa no responde y lo tengo que finalizar.



Un saludo. :D

[msc hotline sat]

Bien, pues ello indica que no puede procesar el escaneo del registro de sistema, por la razon que sea.



Es posible que tenga una entrada corrupta o esté dañado.



Trataremos de estudiar las causas y le informaremos, como respuesta de este Tema



saludos



ms, 17-11-2005

[Skapeloko]

Muchas gracias.

[msc hotline sat]

Vamos a potenciar la version de pruebas haciendo qye muestre para el proceso de escaneo de registro paso por paso y nos indique donde llega, para tratar de eludir el bloqueo del proceso qye lo detenga, de lo cual ya le informaremos cuando esté listo, pero mientras le pedimos que haga la prueba de arrancar en modo seguro y entrar como ASMINISTRADOR, no como usauario administrador que permite menos cosas, a ver si es cuestion de dalta de privilegios.



Ya nos comentará el resultado, gracias



saludos



ms, 17-11-2005

[maxgm]

Yo tambien he enviado 1 par de virus

Han recibido?

[msc hotline sat]

Las muestras que se piden en el foro, con la referencia que se indica en el post en el que se piden, se siguen e informan como respuesta al Tema correspondiente.



Maxgm indica haber enviado dos muestras. Diganos la referencia que se le indicaba, para perseguirlas. Si su envio obedeció a la solicitud de alguna de nuestras utilidades, la cuenta de correo es diferente a la que seguimos en los Temas de los foros, y no se hace seguimiento al llegar cientos de ellas cada día, salvo que nos especifiquen el código de cliente asociado a SATINFO, siendo dicha cuenta de correo la de virus@satinfo.es mientras que para las muestras del foro es zonavirus@satinfo.es.



En todo caso sepa que todas las muestras son procesadas y aplicadas debidamente potenciando nuestras utilidades, si bien los tecnicos de SATINFO solo siguen y mantienen servicio y soporte de las mimas para con los clientes con contrato de asistencia tecnica de SATINFO, cuenta virus@satinfo.es que es la especifica para muestras, o sat@satinfo.es que es la general del servicio tecnico, aparte de las cuentas comerciales, administrativas y personales de cada empleado. Por otra parte personalmente brindo el analisis, desarrollo de utilidades y seguimiento de las muestras que se piden en el foro, a las que por ello damos una referencia de control, y de las que me informan cuando se reciben y se informa al foro del resultado y mejoras de las utilidades al respecto, y de su disponibilidad en la web de zonavirus.



saludos



ms, 17-11-2005

[msc hotline sat]

Posiblemente dos muestras recibidas con referncia MAXGM ??? que no teníamos abierta, son las correspondientes a las inidcadas por MAXGM, y se os informa que pasar a ser controladas con la nueva version del ELISTARA de hoy, 10.61:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 18-11-2005