problema con ~ce1.exe

[friwel]

hola,



tengo un win2000 con todas las actualizaciones posibles, tengo el panda actualizado y un antiespia.

el caso es que tengo un virus, o eso creo.

me cambia la clave load del registro cuando arranca y la deja en blanco, aunque realmente ejecuta "algo" que produce que aparezcan muchos procesos de los que usa windows para abrir programas de 16 bits que me bloquean el pc.

ademas se crea dentro de windows/temp un fichero aproximadamente cada minuto, con nombre ~cd1.exe, ~cd2.exe...



alguien me dice algo??



saludos

[MrKogoyo]

Hola y Bienevnido

Pasate esta 3 herramientas en MODO SEGURO:



[b]EliStarA:[/b]

http://www.zonavirus.com/descargas/elistara.asp



[b]EliTriiP:[/b]

http://www.zonavirus.com/descargas/elitriip.asp



y [b]EliTempo:[/b]

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



[b]MODO SEGURO:[/b]

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Una vez terminada la exploracion, reinicia normalmente y ve a la unidad C (Mi Pc/C:) hay encontraras un archivo con el nombre de InfoSat.txt, abrelo, copia el contenido y pegalo en tu siguiente post



COMENTA los resultados



[b]Slds. ¡¡

MrKogoyo.[/b]

[msc hotline sat]

Como que no es conocido, posiblemente no detectes nada, mira ademas de arrancar en modo seguro con fucnioenes de red y lanza este AV ONLINE:



[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]





sy nos cuentas el resultado, gracias



ms, 12-02-2007

[friwel]

Hola de nuevo,

ya he hecho todo lo propuesto con el siguiente resultado:



-se me sigue creando un fichero con ese mismo nombre (y con el numero ascendente) cada minuto

-al arrancar me sigue cambiando la variable del registro

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"load"="explorer.exe"

se pone en blanco y si no lo cambio antes de arrancar el pc o reiniciarlo, me abre un proceso NTVDM.EXE, cada minuto aprox. (puede coincidir con la creacion del fichero ~ce1.exe, ~ce2.exe etc.., no?)

-el antivirus online ha encontrado un virus y lo ha eliminado, pero no parecia ser eso

-cuando no trabajo con el pc, por ejemplo en la hora de la comida, no crea ese fichero

-los resultados del fichero intersat.txt son:



Tue Feb 13 14:51:57 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\CMDMANT]

Por favor, envienos una muestra del fichero

C:\WinLogon\MSGCOM.DLL

a "virus@satinfo.es". Gracias.

C:\WINNT\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 13 14:58:57 2007

EliTriIP v3.16 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 qq.etsoft.com.cn

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)



Tue Feb 13 14:59:19 2007

EliTriIP v3.16 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 14:59:57 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Radmin\radmin.exe --> Eliminado, RemAdm-RemoteAdmin

C:\Archivos de programa\Radmin\r_server.exe --> Eliminado, RemAdm-RemoteAdmin

C:\Archivos de programa\Spyware Terminator\SPTCONTMENU.DLL --> Eliminado, KeyLogger.FL

C:\Archivos de programa\UltraEdit\UEDOS32.EXE --> Eliminado, Puper-Isa

C:\basura\ETHEREAL-SETUP-0.99.0.EXE --> Eliminado, Beginto

C:\WINNT\system32\r_server.exe --> Infectado, RemAdm-RemoteAdmin





os suena algo con todas estas pistas??

yo no veo nada



saludos y muchas gracias por las molestias.

[MrKogoyo]

Pues como indica el log:
[quote]
Por favor, envienos una muestra del fichero

C:\WinLogon\MSGCOM.DLL[/quote]

[b]¿COMO ENVIAR?:[/b]

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Ademas lanza un Windows Update y comenta los resultados



[b]Slds. ¡¡

MrKogoyo.[/b]

[friwel]

Hola de nuevo,



ya he enviado el correo con la .dll comprimida y con la contraseña= virus



si no llega hazmelo saber por favor



gracias y perdona por todas las molestias

[msc hotline sat]

Pues mañana la vemos y procedemos en consecuencia



SATINFO ya está cerrado pero mañana seguimos en la brecha ... si Dios quiere.



saludos



ms, 13-02-2007

[msc hotline sat]

Recibida la DLL es un troyano downloader que se implementa en el ELISTARA de hoy 13.33, que podrás descargar para evaluar a partir de las 20 h



Tras probarlo, comentenos el resultado, gracias



saludos



ms, 14.02.2007

[friwel]

antes de probarlo comentarte que hasta ayer me estuvo creando ficheros cada minuto pero que hoy no hay nada, todo esto con mi Panda y mi antiespias de siempre.

lo que desconozco es si me sigue causando los otros problemas, cargando el registro la variable load en blanco (aunq yo la tengo = explorer.exe) y abriendome los procesos NTVDM que me bloquean el orenador. No lo he podido comprobar ya que al arrancar auntomaticamente me restaura las entradas del registro donde tengo problemas.

Probare si continuo teniendo problemas quitanto esta restauracion del registro y os comentare resultados antes de pasar el ELISTARA y despues.

Muchas gracias y un saludo

[msc hotline sat]

En cualquier caso, tras el ELISTARA, nos postea el infosat.txt, gracias



saludos



ms, 15-02-2007

[friwel]

Buenos dias,



como ya comenté, me temia que el problema habia desaparecido antes de pasar el elistara...



de todas formas aqui os pongo los resultados. me ha encontrado 3 virus, uno es una DLL de mi antiespias y he preferido no borrarlas. Los otros dos eran la DLL que solicitais y que os paso por correo por si os sirve de algo.



Tue Feb 13 14:51:57 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\CMDMANT]

Por favor, envienos una muestra del fichero

C:\WinLogon\MSGCOM.DLL

a "virus@satinfo.es". Gracias.

C:\WINNT\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 13 14:58:57 2007

EliTriIP v3.16 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 qq.etsoft.com.cn

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)



Tue Feb 13 14:59:19 2007

EliTriIP v3.16 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 14:59:57 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Radmin\radmin.exe --> Eliminado, RemAdm-RemoteAdmin

C:\Archivos de programa\Radmin\r_server.exe --> Eliminado, RemAdm-RemoteAdmin

C:\Archivos de programa\Spyware Terminator\SPTCONTMENU.DLL --> Eliminado, KeyLogger.FL

C:\Archivos de programa\UltraEdit\UEDOS32.EXE --> Eliminado, Puper-Isa

C:\basura\ETHEREAL-SETUP-0.99.0.EXE --> Eliminado, Beginto

C:\WINNT\system32\r_server.exe --> Infectado, RemAdm-RemoteAdmin



Fri Feb 16 08:45:47 2007

EliStartPage v13.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\CMDMANT] -> C:\WINNT\SYSTEM32\MSGCOM.DLL

C:\WINNT\SYSTEM32\MSGCOM.DLL --> DownLoader Renombrado a .VIR

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 16 08:52:29 2007

EliStartPage v13.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Spyware Terminator\SPTCONTMENU.DLL --> Infectado, KeyLogger.FL

C:\WinLogon\MSGCOM.DLL --> Infectado, DownLoader

C:\WINNT\system32\MSGCOM.DLL.VIR --> Infectado, DownLoader





MUCHAS GRACIAS POR LA AYUDA PRESTADA Y DISCULPAR POR LAS MOLESTIAS

[msc hotline sat]

Tenías desmarcada la casilla de ELIMINAR AUTOMATICAMENTE cuando probaste el ultimo ELISTARA y no te ha eliminado estos ficheros:



C:\WinLogon\MSGCOM.DLL --> Infectado, DownLoader

C:\WINNT\system32\MSGCOM.DLL.VIR --> Infectado, DownLoader



Vuelvelo a pasar sin modificar dicha casilla (inicialmente está marcada cuando se lanza) y te los eliminará



saludos



ms, 16-02-2007