Tengo el ordenador infectado por varios troyanos, spywear,..

nova9701 · Mensaje por **nova9701** » 02 Mar 2007, 11:47

Muy buenas a todos estoy desesperada con este maldito ordenador, creo que esta en las ultimas, necesito vuestra ayuda.
error 0x0000008E PANTALLAZO AZUL
________________________________________
Bueno ese es el error que me da, en realidad (el ordenador es de mi sobrina) llevaba varios días sin el antivirus actualizado, veo que esta muy infectado. Lo enciendo y en pocos segundos pantallazo azul, me pone volcando memoria, y se reinicia. He intentado pasarle varios programas ant spywere, , se me apaga al poquito de encenderlo . A modo normal ni siquiera me da tiempo de pasar antivirus online.
Solo he conseguido instalar el nod32: me ha encontrado dos troyanos que he eliminado:c:\xgxur.exe- win32/rustock

c:\archivos programa\archivos comunes\microsoft shared\web folders\ibm00002.dell
win32/PSW-sinowal.D (y otos dos de este con otra extensión?

y me salen muchos archivos que me dice error abriendo archivo acceso denegado el archivo es usado en exclusividad por otra aplicación

tengo la pagina de internet secuestrada SECURE32 EL FAMOSO

me han aparecido dos maldito archivos en el menu inicio llamados:

online security guide y security troubleshooting, que me imagino que de seguridad poca

GRACIAS POR TODO

Mensaje por **msc hotline sat** » 02 Mar 2007, 12:04

No nos postee logs de utilidades que no sugerimos !

Arranque en modo seguro con funciones de red y lance este AV ONLINE y nos cuenta el resultado:
Antivirus ONLINE aconsejado

De paso eliminará los virus que hubiera y de los troyanos ya hablaremos en funcion de los que detecte.

También puede luego probar el ELISTARA y asi ganamos tiempo:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

ms.

nova9701 · Mensaje por **nova9701** » 02 Mar 2007, 19:09

Hola muchas gracias por contestar.

He intentado entra modo prueba de fallos con funciones de red, pero no me funciona internet

te dejo el archivo que me indicas:

Fri Mar 02 17:40:11 2007
EliStartPage v13.44 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\UVWDTQBAFR.EXE.Muestra EliStartPage v13.44
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\UVWDTQBAFR.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado 
C:\WINDOWS\DIALEREXE.INI --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "UVWDTQBAFR"="c:\windows\system32\uvwdtqbafr.exe uvwdtqbafr"
Eliminada Carpeta "%WinSys%\LogFiles"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Mar 02 17:41:13 2007
EliStartPage v13.44  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Legacy Interactive\Zoo Vet\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert
C:\Archivos de programa\Spybot - Search & Destroy\BLINDMAN.EXE --> Eliminado, PWS-Lineage
C:\Downloads\EEPRAILROADSETUP.EXE --> AutoExtraible
C:\Downloads\MALL2DELUXESETUP.EXE --> AutoExtraible
C:\Downloads\PIRATEPINBALL_SETUP_30M_ES.EXE --> AutoExtraible
C:\Downloads\ZOOVETSETUP.EXE --> AutoExtraible

	  Fri Mar 02 17:51:55 2007
EliStartPage v13.44  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Legacy Interactive\Zoo Vet\UNINSTALL.EXE --> AutoExtraible
C:\Downloads\EEPRAILROADSETUP.EXE --> AutoExtraible
C:\Downloads\MALL2DELUXESETUP.EXE --> AutoExtraible
C:\Downloads\PIRATEPINBALL_SETUP_30M_ES.EXE --> AutoExtraible
C:\Downloads\ZOOVETSETUP.EXE --> AutoExtraible

	  Fri Mar 02 17:56:36 2007
EliStartPage v13.44  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminados Ficheros Temporales del IE

	  Fri Mar 02 17:56:56 2007
EliStartPage v13.44  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Legacy Interactive\Zoo Vet\UNINSTALL.EXE --> AutoExtraible
C:\Downloads\EEPRAILROADSETUP.EXE --> AutoExtraible
C:\Downloads\MALL2DELUXESETUP.EXE --> AutoExtraible
C:\Downloads\PIRATEPINBALL_SETUP_30M_ES.EXE --> AutoExtraible
C:\Downloads\ZOOVETSETUP.EXE --> AutoExtraible

De nuevo muchas gracias

Nuker · Mensaje por **Nuker** » 02 Mar 2007, 19:18

Hola, envia ficheros de esta porfavor para la eliminacion de restos viricos...

C:\Muestras\UVWDTQBAFR.EXE

Como Enviar un fichero ? viewtopic.php?f=2&t=45334

----------------------------------------
NOTA: No podras acceder a Modo Seguro con funciones de red si cuentas con Modem, solo con un router es posible accesar.
----------------------------------------

Le hacen Parches ! Descarguelos del link proporcionado, reinicie y espere los resultados de su envio...

Windows Update: https://support.microsoft.com/es-es/hel ... update-faq

Saludos.

nova9701 · Mensaje por **nova9701** » 03 Mar 2007, 02:41

Buenas de nuevo, he instalado el ruter y me he podido conectar, pero al cargarse el antivirus me decia algo asi como download faild. descarga fallida o algo así no?? así es que sigo sin poder pasarselo.

Los parches hay forma de meterselos descargando en otro ordenador y meteros en este???

y por cierto el archivo lo he enviado.

Muchas gracias.

Mensaje por **lucl** » 03 Mar 2007, 09:44

El problema yo creo que te surgira a la hora de validar windows, aunque te lo descargases de otro te diria lo del windows genuine advantage, que es una herramienta que se instala lo primero antes de actualizartelo para evitar el pirateo. En cuanto al archivo si ya lo mandaste , msc te indicara al respecto los pasos a seguir. y con lo del online si no te lo carga bien prueba con otro a ver que tal, aqui te dejo un link de varios, elige otro y a ver que te dicen, saludos.

viewtopic.php?f=5&t=764

Mensaje por **msc hotline sat** » 03 Mar 2007, 10:30

El lunes cuando entremos a trabajar en SATINFO, analizaremos el fichero enviado e informaremos.

De todas formas el fichero, tras reiniciar, ya está fuera de circulacion, asi que mira si puedes trabajar normalmente y si en modo normal puedes navegar y nos lo cuentas, gracias

saludos

ms, 3-03-2007

nova9701 · Mensaje por **nova9701** » 04 Mar 2007, 02:13

Muchas gracias por todo chicos, por fin pude pasar el online y esto es lo que me conto:

bias acid.exe Win32/Swizzor suprimido C:\Documents and Settings\All Users\Datos de programa\TransMessAntiPile\

mIRC.exe Win32/IRCFlood suprimido C:\Turk100 mIRC\

Bueno esto se va multiplicando ayer unos y hoy otros.

Espero noticias vuestras.

besitos

Mensaje por **msc hotline sat** » 04 Mar 2007, 08:45

Pues el lunes implementaremos el control y eliminacion de la muestra, claves y demas en el ELISTARA que estara disponible mañana a partir de las 20 h GMT, descarguelo, pruebelo y nos comenta el resultado posteando el c:\infosat.txt, gracias

saludos

ms, 4-03-2007

Mensaje por **msc hotline sat** » 05 Mar 2007, 14:57

Recibida muestra, es una variante de navipromo que pasamos a controlar con la version del ELISTARA de hoy 13.46, que estará disponible en esta web para evaluacion a partir de las 20 h GMT

Descarguela entonces y la prueba:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 5-03-2007

nova9701 · Mensaje por **nova9701** » 05 Mar 2007, 21:26

Bueno todo sigue igual que antes el reporte es el siguiente:

Me llama la atención que al estar el elistara escaneando hay varias veces que me sale una pantallita que me dice que no tien acceso a varias carpetas y tego que ir dando en aceptar, es normal???

Mon Mar 05 20:05:25 2007

EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Mar 05 20:06:51 2007

EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Legacy Interactive\Zoo Vet\UNINSTALL.EXE --> AutoExtraible

C:\Downloads\EEPRAILROADSETUP.EXE --> AutoExtraible

C:\Downloads\MALL2DELUXESETUP.EXE --> AutoExtraible

C:\Downloads\PIRATEPINBALL_SETUP_30M_ES.EXE --> AutoExtraible

C:\Downloads\ZOOVETSETUP.EXE --> AutoExtraible

C:\Muestras\UVWDTQBAFR.EXE.MUESTRA ELISTARTPAGE V13.44 --> Eliminado, NaviPromo (dropper)

Gracias por todo

Mensaje por **lucl** » 05 Mar 2007, 21:51

bueno el navipromo te lo ha eliminado

C:\Muestras\UVWDTQBAFR.EXE.MUESTRA ELISTARTPAGE V13.44 --> Eliminado, NaviPromo (dropper)

y sobre esas carpetas, recuerdas cuales son? pasalo de nuevo pero en modo seguro a ver si ahora no te dice acceso denegado y peganos el log de nuevo, saludos

http://www.zonavirus.com/articulos/como ... fallos.asp

nova9701 · Mensaje por **nova9701** » 05 Mar 2007, 23:30

Buenas, me ha hecho lo mismo. el reporte:

Mon Mar 05 21:59:08 2007

EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Mon Mar 05 21:59:26 2007

EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Legacy Interactive\Zoo Vet\UNINSTALL.EXE --> AutoExtraible

C:\Downloads\EEPRAILROADSETUP.EXE --> AutoExtraible

C:\Downloads\MALL2DELUXESETUP.EXE --> AutoExtraible

C:\Downloads\PIRATEPINBALL_SETUP_30M_ES.EXE --> AutoExtraible

C:\Downloads\ZOOVETSETUP.EXE --> AutoExtraible

Por si da alguna pista, esto es lo que dice:

Acceso denegado a la carpeta:(y con todas las que pongo)

C:\db650463e90a81e1cb13df4c\iem(16)

c:\db650463e90a81e1cb13df4c\update(16)

c:\Documentos and setting\camila!(16)

c:\Documentos and setting\Paco(16)

c:\f5fe58f6c864968887dbee28e3ce\iem(16)

c:\f5fe58f6c864968887dbee28e3ce\update(16)

c:\\Google Desktop Dat (8258)

C:\RECYCLER\S-1-5-21-1004336348-823518204-682003330-10071Dc1(16)

Bueno todas estas son, lo del 16 que es el numero maldito??? :evil:

Eso es todo y gracias por vuestra ayuda.

Mensaje por **msc hotline sat** » 06 Mar 2007, 07:49

Posiblemente no tenias derechos de Administrador... pero lo importante es saber si, tras reiniciar, persiste alguna anomañia y en su caso cual, gracias

saludos

ms, 6.03.2007

nova9701 · Mensaje por **nova9701** » 06 Mar 2007, 17:24

Buenas, empiezo a desesperar, tengo la misma anomalia que al principio:c ada 3min aprox mi PC se reinicia, me sale la típica pantalla azul diciendo: Se ha encontrado un problema y Windows ha sido apagado....

Y luego como información técnica:

stop: 0x0000008E(0x0000005,0xF6EB461D,0xF3D4A4A20,0x0000000)

system32:lzx32.sys -Address F6F....

el lzx32 me lo elimino el nod32, era un troyano no??? el caso es que el erro me sigue dando el mismo

Muchas gracias

Mensaje por **msc hotline sat** » 06 Mar 2007, 17:36

El lzx32 es un mal bicho que oculta procesos, y puede marear un poco.. y el fichero en cuestión es un rootkit:

https://www.bleepingcomputer.com/startu ... 15548.html

Veras en su descripcion :

This section contains the description and advanced technical information
Troj/RKRustok-A is a Trojan for the Windows platform.

The Trojan uses stealth techniques in order to hide files, processes and registry entries.

Troj/RKRustok-A can be installed in an alternative datastream as <windows>system:lzx32.sys.

Mira si puedes enviarnos el indicado fichero lzx32.sys para analizar. Si es necesario arranca en modo seguro para verlo y copiarlo a un disquete, luego arrancas normal y anexas el fichero del disquete al mail:

recuerda: viewtopic.php?f=2&t=45334

Es todo un rootkit:

VSantivirus escribió:
SpamTool.Mailbot.NAG. Envía spam, utiliza rootkit
http://www.vsantivirus.com/spamtool-mailbot-nag.htm

Nombre: SpamTool.Mailbot.NAG
Nombre NOD32: Win32/SpamTool.Mailbot.NAG
Tipo: Caballo de Troya
Alias: SpamTool.Mailbot.NAG, Backdoor.Rustock.B, Spam-Mailbot.c, TR/Dldr.Agent.ayc, Trj/MailBot.AI, Trojan/Downloader.Agent.ayc, TrojanDownloader.Agent.ayc, Trojan-Downloader.Win32.Agent.ayc, W32/Agent.AMEI, W32/Agent.AYC!tr.dldr, Win32/SpamTool.Mailbot.NAG
Fecha: 28/set/06
Plataforma: Windows 32-bit
Tamaño: 75,264 bytes

Caballo de Troya que utiliza el equipo infectado como servidor proxy, actuando como intermediario entre Internet y un grupo de usuarios. Esto le permite recibir peticiones de un atacante remoto, y redirigirlas a Internet desde el equipo infectado, en este caso para el envío masivo de spam.

Utiliza técnicas de rootkit para ocultar sus archivos y entradas en el registro. Un rootkit es una herramienta que permite acceder a un sistema como un usuario con todos los permisos (root), que en estos casos es utilizada para ocultar las actividades de un atacante dentro del sistema, después que éste ha logrado ingresar a él.

Además, para dificultar su detección y eliminación, utiliza las propiedades de almacenamiento de datos proporcionadas por el sistema de archivo NTFS (disponible en Windows NT, 2000 y XP). En estos sistemas, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream". Puede compararse esto a tener varios archivos comprimidos dentro de un solo .ZIP. Cada stream es accesible como un archivo individual llamado ADS (Alternate Data Stream).

Al ejecutarse, el troyano puede crear los siguientes archivos (los nombres pueden variar según las variantes):
\TEMP\??????.tmp.log

Donde "??????" son caracteres al azar.

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

Puede crear el siguiente ADS (Alternate Data Stream) oculto:

c:\windows\System32:lzx32.sys

También crea un servicio de dispositivo oculto, con las siguientes características:

Nombre de servicio: pe386
Nombre para mostrar: Win23 lzx files loader
Ruta de acceso al ejecutable: c:\windows\System32:lzx32.sys
Tipo: Automático

NOTA: El nombre "pe386" puede variar si varía el nombre del ejecutable.

Para habilitar dicho servicio, la siguiente entrada en el registro es creada:

HKLM\SYSTEM\CurrentControlSet\Services\pe386

NOTA: Todas las entradas mencionadas, son ocultadas al usuario por la característica de rootkit mencionada antes. También intenta ocultarse de determinadas herramientas especializadas en la detección de rootkits, en concreto de aquellas que contengan algunas de las siguientes cadenas:

Anti-Rootkit
BlackLight
DarkSpy
endoscope.EXE
gmer.exe
Rkdetector
RootkitRevealer

El troyano intenta modificar el funcionamiento de los siguientes archivos del sistema, para intentar eludir cortafuegos y modificar la transferencia de paquetes vía redes:

ndis.sys
tcpip.sys
wanarp.sys

También intenta descargar e instalar otros programas como ICQ, y redireccionar el tráfico a determinadas páginas de Internet.

por lo que no me extraña que estes mareado...

Tras recibir la muestra lo analizaremos e informaremos

saludos
ms, 6-03-2007

nota: ya sabemos que te costará encontrarlo, porque aparte de estar oculto, se oculta...

, pero para ello te decimos que arranques en modo seguro y recuerda que para ver ocultos:
viewtopic.php?f=5&t=13245

nova9701 · Mensaje por **nova9701** » 06 Mar 2007, 17:41

Hay un problema y es que lo elimine cuando el nod me aviso de que estaba infectado.

No puedo hacer otra cosa???

Mensaje por **msc hotline sat** » 06 Mar 2007, 17:51

Si lo hubieras eliminado realmente ya no tendriamos el problema ...

Buscalo bien, tal como te hemos indicado, que es como los gatos, tiene 7 vidas ...

y mira, ahora puedes probar el nanoscan, a ver si te detecta algo en memoria, será solo 1 minuto !

https://www.pandasecurity.com/spain/hom ... antivirus/

y nos cuentas el resultado, gracias

saludos
ms, 6-03-2007

nova9701 · Mensaje por **nova9701** » 06 Mar 2007, 23:59

Pues vaya que tienes razón, he conseguido estabilizar un poco el sistema y he escaneado con el activescan mas completo y este es el reporte:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-03-06 22:50:50
PROTECTIONS: 1
MALWARE: 37
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
NOD32 Antivirus 2.70.31 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================

Código: Seleccionar todo

00034463  adware/wupd                        Adware              No        0         Yes            No           hkey_classes_root\install.install
00040722  adware/navipromo                   Adware              No        0         Yes            No           c:\windows\system32\uvwdtqbafr_nav.dat
00147814  Cookie/AspinallsOnlineCasino       TrackingCookie      No        0         Yes            No           C:\Documents and Settings\beep\Datos de programa\Mozilla\Firefox\Profiles\61ah2umj.default\cookies-1.txt[.pacificpoker.com/]
00147814  Cookie/AspinallsOnlineCasino       TrackingCookie      No        0         Yes            No           C:\Documents and Settings\beep\Datos de programa\Mozilla\Firefox\Profiles\61ah2umj.default\cookies-1.txt[.pacificpoker.com/]
00158271  dialer.asl                         Dialers             No        0         Yes            No           HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1426AC5-8CE5-4A00-B71E-011D35709AC6}
00167691  Cookie/ademails                    TrackingCookie      No        0         Yes            No           C:\Documents and Settings\beep\Datos de programa\Mozilla\Firefox\Profiles\61ah2umj.default\cookies.txt[.www.ademails.com/]
00167691  Cookie/ademails                    TrackingCookie      No        0         Yes            No           C:\Documents and Settings\beep\Datos de programa\Mozilla\Firefox\Profiles\61ah2umj.default\cookies-1.txt[.www.ademails.com/]
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@xiti[1].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@xiti[1].txt
00167738  Cookie/fe.lea.lycos                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@fe.lea.lycos[1].txt
00167747  Cookie/Azjmp                       TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@azjmp[2].txt
00167747  Cookie/Azjmp                       TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@azjmp[2].txt
00167749  Cookie/Toplist                     TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@toplist[1].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@ad.yieldmanager[1].txt
00168076  Cookie/BurstNet                    TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@burstnet[1].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Documents and Settings\beep\Cookies\beep@serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Documents and Settings\beep\Cookies\beep@bs.serving-sys[2].txt
00168095  Cookie/888                         TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@888[2].txt
00168095  Cookie/888                         TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@888[2].txt
00171633  Cookie/Cgi-bin                     TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@cgi-bin[5].txt
00171819  Cookie/Systemdoctor                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@es.systemdoctor[1].txt
00171819  Cookie/Systemdoctor                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@es.systemdoctor[2].txt
00172483  Cookie/888                         TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@888[1].txt
00172483  Cookie/888                         TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@888[1].txt
00172484  Cookie/Cassava                     TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@cassava[1].txt
00172484  Cookie/Cassava                     TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@cassava[1].txt
00186469  Cookie/Reliablestats               TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@stats1.reliablestats[1].txt
00186469  Cookie/Reliablestats               TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@stats1.reliablestats[1].txt
00249100  Cookie/Cgi-bin                     TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@cgi-bin[1].txt
00262025  Cookie/ErrorSafe                   TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@errorsafe[2].txt
00262025  Cookie/ErrorSafe                   TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@errorsafe[1].txt
00279619  Adware/Lop                         Adware              No        0         Yes            No           C:\Documents and Settings\camila!\Configuración local\Temp\bis1CF.exe
00279619  Adware/Lop                         Adware              No        0         Yes            No           C:\Documents and Settings\camila!\Datos de programa\insidesurfcomp\mhwcrnoq.exe
00279619  Adware/Lop                         Adware              No        0         Yes            No           C:\Documents and Settings\camila!\Datos de programa\insidesurfcomp\mpegdash.exe
00279619  Adware/Lop                         Adware              No        0         Yes            No           C:\Documents and Settings\camila!\Datos de programa\insidesurfcomp\SlowTransLove.exe
00279619  Adware/Lop                         Adware              No        0         Yes            No           C:\Documents and Settings\camila!\Datos de programa\settingstray\cornintra.exe
00279619  Adware/Lop                         Adware              No        0         Yes            No           C:\System Volume Information\_restore{5306B83C-B89C-462A-B9C2-6F813D50A3C0}\RP8\A0016234.exe
00279619  Adware/Lop                         Adware              No        0         Yes            No           C:\Documents and Settings\camila!\Datos de programa\insidesurfcomp\Amen stop dvd seek.exe
00286738  Cookie/Cgi-bin                     TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@cgi-bin[3].txt
00290696  Cookie/Winantivirus                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@es.winantivirus[1].txt
00290696  Cookie/Winantivirus                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@es.winantivirus[2].txt
00291663  Adware/PestTrap                    Adware              No        0         Yes            No           C:\Documents and Settings\mario\Configuración local\Archivos temporales de Internet\Content.IE5\APZP7MR6\eprotectpage[1].htm
00291663  Adware/PestTrap                    Adware              No        0         Yes            No           C:\Documents and Settings\Paco\Configuración local\Archivos temporales de Internet\Content.IE5\X337H5WE\eprotectpage[1].htm
00296583  Cookie/DriveCleaner                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@stats.drivecleaner[2].txt
00296583  Cookie/DriveCleaner                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@stats.drivecleaner[2].txt
00296584  Cookie/DriveCleaner                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@drivecleaner[1].txt
00296584  Cookie/DriveCleaner                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@drivecleaner[1].txt
00308505  Application/Winantivirus2006       Unknow              No        0         No             No           C:\Documents and Settings\Paco\Configuración local\Archivos temporales de Internet\Content.IE5\L0KNH1C9\WinAntiVirusPro2006FreeInstall_es[1]_cab.vir[UWA6PY_0001_N91M2107NetInstaller.exe]
00308505  Application/Winantivirus2006       Unknow              No        0         No             No           C:\Documents and Settings\Paco\Configuración local\Archivos temporales de Internet\Content.IE5\SN5NIYND\WinAntiVirusPro2006FreeInstall_es[1]_cab.vir[UWA6PY_0001_N91M2107NetInstaller.exe]
00320978  Cookie/Winantivirus                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@winantivirus[2].txt
00320978  Cookie/Winantivirus                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@winantivirus[1].txt
00333087  Adware/VirusBurst                  Adware              No        0         Yes            No           C:\Documents and Settings\Paco\Configuración local\Temp\laf1A6.tmp
00343314  Adware/Lop                         Adware              No        0         Yes            No           C:\Archivos de programa\Adverts\uninst.exe
00346591  Adware/Lop                         Adware              No        0         Yes            No           C:\Documents and Settings\Paco\Configuración local\Temp\bis171.exe
00346591  Adware/Lop                         Adware              No        0         Yes            No           C:\Documents and Settings\Paco\Datos de programa\insidesurfcomp\wijcpddp.exe
00346591  Adware/Lop                         Adware              No        0         Yes            No           C:\Documents and Settings\Paco\Datos de programa\insidesurfcomp\mpegdash.exe
00351416  Cookie/Systemdoctor                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@systemdoctor[1].txt
00351416  Cookie/Systemdoctor                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@systemdoctor[1].txt
00371792  Trj/Agent.EAB                      Virus/Worm          No        1         Yes            No           C:\Documents and Settings\Paco\Configuración local\Temp\zzzrba.exe
00377794  Trj/Agent.EDT                      Virus/Trojan        No        1         Yes            No           C:\WINDOWS\system32:lzx32.sys
00377906  Trj/Agent.EDX                      Virus/Trojan        No        0         Yes            No           C:\WINDOWS\system32\srvlahxm.exe
00505449  Cookie/Winantivirus                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\camila!\Cookies\camila!@winantispyware[2].txt
00505449  Cookie/Winantivirus                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Paco\Cookies\paco@winantispyware[2].txt
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
C:\WINDOWS\system32\lzx32.sys
;===================================================================================================================================================================================

Como localizo ese bicho!!!!!!!!!!!!! no lo veo.

Muchas gracias

Nuker · Mensaje por **Nuker** » 07 Mar 2007, 00:16

C:\WINDOWS\system32\lzx32.sys
Si se reusa a aparecer des oculta los ficheros:

viewtopic.php?f=5&t=13245

Saludos.

nova9701 · Mensaje por **nova9701** » 07 Mar 2007, 11:53

no soy capaz de encontrarlo!!!!!!!!!!!

dios mio!!!!

este ordenador tiene varios usuarios, puede aparecer en unos y otros no???

gracias

Mensaje por **msc hotline sat** » 07 Mar 2007, 12:07

En el log que nos posteas aparece...
00377794 Trj/Agent.EDT Virus/Trojan No 1 Yes No C:\WINDOWS\system32:lzx32.sys
00377906 Trj/Agent.EDX Virus/Trojan No 0 Yes No C:\WINDOWS\system32\srvlahxm.exe
00505449 Cookie/Winantivirus TrackingCookie No 0 Yes No C:\Documents and Settings\camila!\Cookies\camila!@winantispyware[2].txt
00505449 Cookie/Winantivirus TrackingCookie No 0 Yes No C:\Documents and Settings\Paco\Cookies\paco@winantispyware[2].txt
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
C:\WINDOWS\system32\lzx32.sys
;===================================================================================================================================================================================

pero es normal con un rootkit, cuando está en uso :

Utiliza técnicas de rootkit para ocultar sus archivos y entradas en el registro. Un rootkit es una herramienta que permite acceder a un sistema como un usuario con todos los permisos (root), que en estos casos es utilizada para ocultar las actividades de un atacante dentro del sistema, después que éste ha logrado ingresar a él.

Además, para dificultar su detección y eliminación, utiliza las propiedades de almacenamiento de datos proporcionadas por el sistema de archivo NTFS (disponible en Windows NT, 2000 y XP). En estos sistemas, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream". Puede compararse esto a tener varios archivos comprimidos dentro de un solo .ZIP. Cada stream es accesible como un archivo individual llamado ADS (Alternate Data Stream).

Si tuvieras mucho problema en conseguirlo, arranca en consola de recuperacion, (con el CDROM de instalacion y tras arrancar pulsar R) y en modo DOS ve al directorio de sistema (CD \WINDOWS\SYSTEM ) y allí lo encontrarás, renombralo a extension .VIR con un REN (REN LZ32.SYS LZ32.VIR) y copialo a un disquete para poder luego arrancar en modo normal y enviarnoslo (COPY LZ32.* A:)

Con ello conseguirás que ya no se active en memoria y que nosotros podamos implementar su control y eliminacion en nuestras utilidades

ya sabes, envianoslo siguiendo las instrucciones: viewtopic.php?f=2&t=45334

saludos
ms, 7-03-2007