Ayuda descarga Spybot - Search & Destroy (SOLUCIONADO)

Thomas · Mensaje por **Thomas** » 07 Mar 2007, 13:53

Hola,

he descargado el programa Spybot - Search & Destroy pero al acabar la instalacion no arranca. Tampoco arranca dandole a los iconos que se me han creado con la instalacion. Cuando intento abrir el programa se abre una pequeña ventana de windows "falta el icono de acceso directo" y empienza una busqueda del archivo SpyBotSD.exe. Ese archivo no esta en mi carpeta de descarga del programa. Lo he intentado varias veces pero sin resultado. Creo que sigue faltandome el archivo SpyBotSD.exe. Espero haber sido lo mas claro posible, y os agradezco anticipadamente por vuestra ayuda. Saludos

Tambien he pasado la herramienta elistara y aqui van los resultados:

Wed Mar 07 12:20:44 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Bethesda Softworks\Pirates of the Caribbean\MODULES\SHIP.DLL --> Infectado, NetNucleus (BHO)

C:\Documents and Settings\All Users\Datos de programa\jugs play log tray\MEETREGS.EXE --> Infectado, Swizzor(lop)

C:\Documents and Settings\Thomas C\Datos de programa\Size Flap Part\YOUMQRRE.EXE --> Infectado, Swizzor(lop)

C:\WINDOWS\system32\SCIMPETI.DLL --> Infectado, DownLoader.VF

C:\WINDOWS\system32\UTILEGH.DLL --> Infectado, QDial.Internazionale

Mensaje por **lucl** » 07 Mar 2007, 15:01

Hola, te falta el analisis del elistara por accion directa, tienes solo el de por exploracion, deberias haber dado todo aceptar , ejecutalo de nuevo si no lo hiciste asi para que pueda terminar el analisis completo, te ha quitado varias cosas como ves

Wed Mar 07 12:20:44 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Bethesda Softworks\Pirates of the Caribbean\MODULES\SHIP.DLL --> Infectado, NetNucleus (BHO)

C:\Documents and Settings\All Users\Datos de programa\jugs play log tray\MEETREGS.EXE --> Infectado, Swizzor(lop)

C:\Documents and Settings\Thomas C\Datos de programa\Size Flap Part\YOUMQRRE.EXE --> Infectado, Swizzor(lop)

C:\WINDOWS\system32\SCIMPETI.DLL --> Infectado, DownLoader.VF

C:\WINDOWS\system32\UTILEGH.DLL --> Infectado, QDial.Internazionale

pasalo de nuevo y peganos el log completo , gracias.

Thomas · Mensaje por **Thomas** » 07 Mar 2007, 15:19

Hola de nuevo, he vuelto a pasar el elistara y aqui va el analisi:

Wed Mar 07 14:16:31 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Wed Mar 07 14:16:42 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Bethesda Softworks\Pirates of the Caribbean\MODULES\SHIP.DLL --> Eliminado, NetNucleus (BHO)

C:\Documents and Settings\All Users\Datos de programa\jugs play log tray\MEETREGS.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\Thomas C\Datos de programa\Size Flap Part\YOUMQRRE.EXE --> Eliminado, Swizzor(lop)

C:\WINDOWS\system32\SCIMPETI.DLL --> Eliminado, DownLoader.VF

C:\WINDOWS\system32\UTILEGH.DLL --> Eliminado, QDial.Internazionale

No se realmente que hacer con ese problema... gracias

Mensaje por **lucl** » 07 Mar 2007, 16:03

Hola, creo que debes lanzar el hijackthis para que te lo analicen. Te ha vueltoa quitar el elistara los ~~[b]~~mismos [/b] virus?

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

Mensaje por **msc hotline sat** » 07 Mar 2007, 16:19

Te lo aclaro lucl, fijate que LOS PRIMEROS informes dicen INFECTADO:

C:\Documents and Settings\All Users\Datos de programa\jugs play log tray\MEETREGS.EXE --> Infectado, Swizzor(lop)

en cambio el FINAL dice ELIMINADO:

C:\Documents and Settings\Thomas C\Datos de programa\Size Flap Part\YOUMQRRE.EXE --> Eliminado, Swizzor(lop)

Esto es porque primero desactivó la eliminacion automatica, y solo informó , y no se le indicó eliminar, en cambio en el ultimo o bien ya tenia activada la eliminacion automatica, o se le indicó eliminar

Si ya no tiene problemas, no hace falta el HJT, pero si los tiene, que diga cuales son y postee el log

saludos

ms, 7-03-2007

Thomas · Mensaje por **Thomas** » 07 Mar 2007, 16:20

Hecho... aqui va el analisis:

Logfile of HijackThis v1.99.1

Scan saved at 15:19:23, on 07/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\smss.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de

programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.e

xe

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

C:\Archivos de programa\WLAN\USB_WLAN_Utility\Wlan.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\THOMAS~1\CONFIG~1\Temp\Rar$EX00.938\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Skype add-on (mastermind) -

{22BF413B-C6D2-4d91-82A9-A0F997BA588C} -

C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos

de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de

programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -

C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN

Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: ohb - {E8888041-B24A-4B0B-911B-12B018E43F21} -

C:\WINDOWS\system32\rlmtcs.dll (file missing)

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no

file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos

de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog

Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog

Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de

programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de

programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Archivos de

programa\McAfee\Managed VirusScan\Agent\myagttry.exe"

O4 - HKLM\..\Run: [MpfTray] C:\Archivos de programa\McAfee\Managed

Firewall\MpfTray.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

-CheckReg

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft

AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda

Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda

Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [LogTrayGlobalFork] C:\Documents and Settings\All

Users\Datos de programa\jugs play log tray\MeetRegs.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de

programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [swg] C:\Archivos de

programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.e

xe

O4 - HKCU\..\Run: [citygrim] C:\DOCUME~1\THOMAS~1\DATOSD~1\SIZEFL~1\Dart

Meta Gpl.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de

programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de

programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de

programa\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: STK014 PNP Monitor.lnk = ?

O4 - Global Startup: USB Wireless Client Manager.lnk = C:\Archivos de

programa\WLAN\USB_WLAN_Utility\Wlan.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de

programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Archivos de

programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos

de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel -

res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de

programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Archivos

de programa\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -

C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}

- C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com -

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de

programa\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de

programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O12 - Plugin for .spop: C:\Archivos de programa\Internet

Explorer\Plugins\NPDocBox.dll

O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory

Class) - http://descargaseguridad.telefonica.terra.es/VS2/bin/myCioAgt.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/

wuweb_site.cab?1102959263171

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

(MsnMessengerSetupDownloadControl Class) -

http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) -

http://game06.zylom.com/activex/zylomgamesplayer.cab

O17 -

HKLM\System\CCS\Services\Tcpip\..\{2DE74F9A-1AA4-4993-9FA6-12BB5914B478}:

NameServer = 62.151.2.8,62.151.8.100

O17 -

HKLM\System\CCS\Services\Tcpip\..\{A5C90E8A-E635-49F8-BFC5-11794EA213C9}:

NameServer = 62.151.2.8,62.151.8.100

O17 -

HKLM\System\CCS\Services\Tcpip\..\{CEC05F25-1C61-4DD5-842B-A2DBA2D1E3F1}:

NameServer = 62.151.2.8,62.151.8.100

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} -

C:\Archivos de programa\McAfee\Managed

VirusScan\Agent\myRmProt3.0.0.597.dll (file missing)

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de

programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Archivos de programa\Archivos

comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos

de programa\Archivos comunes\Macromedia Shared\Service\Macromedia

Licensing.exe

O23 - Service: McAfee Managed Services Agent (myAgtSvc) - Unknown owner -

C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe (file

missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation

- C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) -

Analog Devices, Inc. - C:\Archivos de programa\Analog

Devices\SoundMAX\SMAgent.exe

Saludos y gracias...

Mensaje por **lucl** » 07 Mar 2007, 16:37

Gracias msc que haria yo sin ti :lol:

tienes restos del panda 2005 y el mcfee?

borra esta clave de momento y ya te dira msc si tienes alguna mas que quitar

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no

file)

haciendo fix cheked una vez seleccionada

dos antivirus ralentizan mucho el pc deberias tener solo uno

y el spybot ya te funciona? saludos

Thomas · Mensaje por **Thomas** » 07 Mar 2007, 16:47

Puede que si haya restos del panda 2005 y el mcfee. He borrado la clave que me has dicho. El spybot sigue sin funcionar puesto que sigue sin descargarse el archivo SpyBotSD.exe

gracias

Mensaje por **msc hotline sat** » 07 Mar 2007, 16:58

Pues elimina los restos de los antivirus, pero a simple vista tienes Backdoor CMQ galopante!

Fijate que en procesos activos tienes en primer lugar un

C:\WINDOWS\System32\smss.exe

que es el de windows, cargado desde la carpeta de sistema, y en ultimo lugar este otro

C:\WINDOWS\smss.exe

desde el %WINDIR% que es un troyano descarado, del que tenemos mas de 200 variantes...

Prueba el ELITRIIP, a ver si es de los que conocemos y eliminamos, y sino pedir´ça envio de muestra para controlarlo:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 7-03-2007

Thomas · Mensaje por **Thomas** » 07 Mar 2007, 17:39

he desinstalado el panda y pasado el ELITRIIP

Wed Mar 07 12:20:12 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Favoritos%\Free Stuff"

ALERTA. WindowsUpdate Incompleto.

Wed Mar 07 12:20:44 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Bethesda Softworks\Pirates of the Caribbean\MODULES\SHIP.DLL --> Infectado, NetNucleus (BHO)

C:\Documents and Settings\All Users\Datos de programa\jugs play log tray\MEETREGS.EXE --> Infectado, Swizzor(lop)

C:\Documents and Settings\Thomas C\Datos de programa\Size Flap Part\YOUMQRRE.EXE --> Infectado, Swizzor(lop)

C:\WINDOWS\system32\SCIMPETI.DLL --> Infectado, DownLoader.VF

C:\WINDOWS\system32\UTILEGH.DLL --> Infectado, QDial.Internazionale

Wed Mar 07 14:12:26 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 07 14:14:31 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 07 14:16:31 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Wed Mar 07 14:16:42 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Bethesda Softworks\Pirates of the Caribbean\MODULES\SHIP.DLL --> Eliminado, NetNucleus (BHO)

C:\Documents and Settings\All Users\Datos de programa\jugs play log tray\MEETREGS.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\Thomas C\Datos de programa\Size Flap Part\YOUMQRRE.EXE --> Eliminado, Swizzor(lop)

C:\WINDOWS\system32\SCIMPETI.DLL --> Eliminado, DownLoader.VF

C:\WINDOWS\system32\UTILEGH.DLL --> Eliminado, QDial.Internazionale

Wed Mar 07 16:15:04 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Wed Mar 07 16:15:25 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 07 Mar 2007, 18:00

Pues si señor ! no es en C:\windows donde guarda su gusano el Backdoor CMQ, sino en C:\Windows\System\ (no System32 como el bueno)

Pero este de C:\windows\ no sé lo que es, ni está controlado, pero nada bueno, seguro :lol:

Envienos muestra del mismo:

C:\windows\smss.exe

y lo analizaremos e informaremos

recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 7-03-2007

Mensaje por **msc hotline sat** » 07 Mar 2007, 18:47

Recibido el fichero sospechoso, resulta ser un troyano downloader ya controlado por McAfee como Downloader.AWY

La picardía, aparte del mismo nombre que un fichero de sistema, pero en otra carpeta, claro, es que en su interior figura como autor Microsoft..., para despistar, claro, pero le delata el tamaño, el doble que la aplicacion del mismo nombre del sistema.

Se implementa su control y eliminacion en la version de hoy del ELISTARA, 13.48 que estara disponible para evaluacion en esta web a partir de las 20 h GMT

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 7-03-2007

Mensaje por **msc hotline sat** » 07 Mar 2007, 19:02

Pues subido este fichero infectado por Downloader-AWY, ya controlado por McAfee, y a partir de esta tarde por el ELISTARA 13.48, se observa que los siguientes antivirus, por orden alfabetico, aun no lo controlan:

Bit Defender

F-Prot

Kaspersky

NOD32

Panda

Sophos

Segun puede verse en :

[quote="VirusTotal"]

ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "DownLoader_AWY__smss_.gxe" que VirusTotal ha recibido el día 07.03.2007 a las 17:54:37 (CET).

Antivirus Version Actualización Resultado

AntiVir 7.3.1.41 07.03.2007 TR/Dldr.Agent.106496.A

Authentium 4.93.8 07.03.2007 no ha encontrado virus

Avast 4.7.936.0 07.03.2007 Win32:Trojan-gen. {Other}

AVG 7.5.0.447 07.03.2007 Downloader.Generic2.XPH

BitDefender 7.2 07.03.2007 no ha encontrado virus

CAT-QuickHeal 9.00 07.03.2007 TrojanDownLoader.Agent.gen

ClamAV devel-20060426 07.03.2007 no ha encontrado virus

DrWeb 4.33 07.03.2007 Trojan.DownLoader.12369

eSafe 7.0.14.0 07.03.2007 no ha encontrado virus

eTrust-Vet 30.6.3461 07.03.2007 no ha encontrado virus

Ewido 4.0 07.03.2007 no ha encontrado virus

FileAdvisor 1 07.03.2007 no ha encontrado virus

Fortinet 2.85.0.0 07.03.2007 W32/AWY!tr.dldr

F-Prot 4.3.1.45 07.03.2007 no ha encontrado virus

F-Secure 6.70.13030.0 07.03.2007 W32/DLoader.BHIU

Ikarus T3.1.1.3 07.03.2007 no ha encontrado virus

Kaspersky 4.0.2.24 07.03.2007 no ha encontrado virus

McAfee 4978 06.03.2007 Downloader-AWY

Microsoft 1.2204 07.03.2007 no ha encontrado virus

NOD32v2 2100 07.03.2007 no ha encontrado virus

Norman 5.80.02 07.03.2007 W32/DLoader.BHIU

Panda 9.0.0.4 07.03.2007 no ha encontrado virus

Prevx1 V2 07.03.2007 Spyware.Bandler.K

Sophos 4.15.0 07.03.2007 no ha encontrado virus

Sunbelt 2.2.907.0 05.03.2007 no ha encontrado virus

Symantec 10 07.03.2007 Downloader.Trojan

TheHacker 6.1.6.072 07.03.2007 no ha encontrado virus

UNA 1.83 07.03.2007 no ha encontrado virus

VBA32 3.11.2 07.03.2007 Trojan.DownLoader.12369

VirusBuster 4.3.19:9 07.03.2007 no ha encontrado virus

Información adicional

Tamaño archivo: 106496 bytes

MD5: 09510b16c5236cf60afa1f9a91fcf01c

SHA1: a0924f1ef7051168cf47106ac091bdeac5f080ea

[/quote]

A titulo de informacion para quienes estan interesados en comparativas entre detecciones de los antivirus...

saludos

ms, 7-03-2007

Thomas · Mensaje por **Thomas** » 07 Mar 2007, 19:05

Ok, pasare ELISTARA, 13.48 a partir de las 20 h GMT y os enviare informe. Otra pregunta. De momento no tengo instalado ningun antivirus. He intentado descargar AVG y casi al final de la instalacion ocurre un error:

Local machine: installation failed

Installation:

Error: Action failed for file avgamsvr.exe: creating file....

No such file or directory

Creo que es un poco el mismo problema que tengo con la instalacion de Spybot - Search & Destroy que me da el error "falta el icono de acceso directo" del archivo SpyBotSD.exe. No tendre algun bicho por ahi que me deniega la utilizacion de archivos .exe?

Otra cosa... parece que ya no se me abren ventana de publicidad CID y la pagina de inizio no cambia.

Muchissimas gracias os mantengo informados

Mensaje por **msc hotline sat** » 07 Mar 2007, 19:15

Si no se pudieran ejecutar ficheros EXE no podrias ejecutar el ELISTARA ... :wink:

Lanza este AV ONLINE por si acaso y nos informas del resultado:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

saludos

ms, 7-03-2007

Thomas · Mensaje por **Thomas** » 07 Mar 2007, 22:44

Hola de nuevo, aqui esta el resultado del eTrust antivurus:

15074859.exe Win32/Bagdrop.V deleted C:\WINDOWS\exefld\

15469875.exe Win32/Bagdrop.V deleted C:\WINDOWS\exefld\

191750.exe Win32/Bagdrop.X deleted C:\WINDOWS\exefld\

9766937.exe Win32/Bagdrop.V deleted C:\WINDOWS\exefld\

302125.exe Win32/Bagdrop.AA deleted C:\WINDOWS\exefld\

30281031.exe Win32/Bagdrop.V deleted C:\WINDOWS\exefld\

330093.exe Win32/Bagdrop.X deleted C:\WINDOWS\exefld\

423171.exe Win32/Bagdrop.V deleted C:\WINDOWS\exefld\

424781.exe Win32/Bagdrop.V deleted C:\WINDOWS\exefld\

44404796.exe Win32/Bagdrop.W deleted C:\WINDOWS\exefld\

44930687.exe Win32/Bagdrop.W deleted C:\WINDOWS\exefld\

549453.exe Win32/Bagdrop.X deleted C:\WINDOWS\exefld\

549921.exe Win32/Bagdrop.X deleted C:\WINDOWS\exefld\

59106484.exe Win32/Bagdrop.W deleted C:\WINDOWS\exefld\

59655578.exe Win32/Bagdrop.W deleted C:\WINDOWS\exefld\

631484.exe Win32/Bagdrop.AA deleted C:\WINDOWS\exefld\

73776375.exe Win32/Bagdrop.W deleted C:\WINDOWS\exefld\

74357953.exe Win32/Bagdrop.W deleted C:\WINDOWS\exefld\

Saludos y gracias.

Mensaje por **lucl** » 07 Mar 2007, 22:48

madre mia :lol: :lol: , bueno ya pasaste el elistara ultima version? que resultado te dio? peganos el log si ya lo hiciste y dinos si por fin has progresado con el spybot, saludos

Thomas · Mensaje por **Thomas** » 07 Mar 2007, 23:52

Aqui va el resultado con la ultima version del elistars 13.48

Wed Mar 07 12:20:12 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Favoritos%\Free Stuff"

ALERTA. WindowsUpdate Incompleto.

Wed Mar 07 12:20:44 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Bethesda Softworks\Pirates of the Caribbean\MODULES\SHIP.DLL --> Infectado, NetNucleus (BHO)

C:\Documents and Settings\All Users\Datos de programa\jugs play log tray\MEETREGS.EXE --> Infectado, Swizzor(lop)

C:\Documents and Settings\Thomas C\Datos de programa\Size Flap Part\YOUMQRRE.EXE --> Infectado, Swizzor(lop)

C:\WINDOWS\system32\SCIMPETI.DLL --> Infectado, DownLoader.VF

C:\WINDOWS\system32\UTILEGH.DLL --> Infectado, QDial.Internazionale

Wed Mar 07 14:12:26 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 07 14:14:31 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 07 14:16:31 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Wed Mar 07 14:16:42 2007

EliStartPage v13.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Bethesda Softworks\Pirates of the Caribbean\MODULES\SHIP.DLL --> Eliminado, NetNucleus (BHO)

C:\Documents and Settings\All Users\Datos de programa\jugs play log tray\MEETREGS.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\Thomas C\Datos de programa\Size Flap Part\YOUMQRRE.EXE --> Eliminado, Swizzor(lop)

C:\WINDOWS\system32\SCIMPETI.DLL --> Eliminado, DownLoader.VF

C:\WINDOWS\system32\UTILEGH.DLL --> Eliminado, QDial.Internazionale

Wed Mar 07 16:15:04 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Wed Mar 07 16:15:25 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Mar 07 16:39:44 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Mar 07 17:06:19 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Wed Mar 07 17:06:33 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Mar 07 22:33:11 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SMSS.EXE --> DownLoader.AWY Renombrado a .VIR

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 07 22:34:52 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Wed Mar 07 22:35:02 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Mar 07 22:45:29 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Wed Mar 07 22:45:38 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\SMSS.EXE.VIR.VIR --> Eliminado, DownLoader.AWY

voy a intentar volver a descargarme el spybot a ver si puedo. os cuento, gracias

Thomas · Mensaje por **Thomas** » 08 Mar 2007, 00:08

Sigo con el mismo problema.... Puedo descargar el spybot pero ahora al intentar abrirlo se abre una ventana de windows y me dice eso:

El elemento "SpybotSD.exe" al que hace referencia este acceso directo ha cambiado o ha sido movido, por lo que el acceso directo no funcionará correctamente.

C:\Archivos de programa\Intel\Indeo\YOURAPP.EXE

¿Desea reparar el acceso directo para que haga referencia a este destino o prefiere eliminarlo?

No se que hacer.... gracias

Mensaje por **msc hotline sat** » 08 Mar 2007, 07:15

Pues lo que detectó el ONLINE era variantes de Bagle, y bastantes por lo visto, por lo que no estaría de mas probar el ELIBAGLA, ya que donde ha habido ...

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

y tras ello einicias y nos posteas el contenido de C:\infosat.txt

Si aun quedara algo de Bagle no controlado todavía, pudiera ser la causa de no poder utilizar el Spybot, ya que, entre otras cosas, desactiva los procesos de seguridad, antivirus y demas.

Crucemos los dedos y que el ELISTARA pida enviar muestras, en cuyo caso ya quedaría fuera de circulacion, y lo rematariamos en la siguiente version, tras procesar las muestras al respecto

saludos

ms, 8-03-2007

Thomas · Mensaje por **Thomas** » 08 Mar 2007, 14:11

Buenos dias,

he pasado elibagla y aqui va el resultado:

Thu Mar 08 13:05:06 2007

EliBagle v10.25 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\THOMAS C\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\THOMAS C\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Thu Mar 08 13:05:25 2007

EliBagle v10.25 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Voy a intentar descargar otra vel el spyboy, a ver que tal...

Thomas · Mensaje por **Thomas** » 08 Mar 2007, 16:31

Muchissimas gracias...

He podido descargar el Spybot y tambien el AVG sin ningun problema. Todo funciona perfectamente. Problema solucionado.

Gracias de verdad a lucl y a msc..

Un saludo

Mensaje por **msc hotline sat** » 08 Mar 2007, 18:02

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 08-03-2007

Mensaje por **msc hotline sat** » 15 Mar 2007, 14:06

Postcierre al ser el unico Tema editado por este forero y ser el unico forero apellidado Thomas:

Hemos recibido a zonavirus@satinfo.es un mail con referencia Antonio Thomas anexando fichero presuntamente infectado, y al no tener mas foreros ni Temas relacionados, contestamos en este, si bien vale para el foro en general:

El fichero es un ELISTARA.EXE, y posiblemente ha sido escaneado por algun antivirus que tiene un falso positivo en las cadenas de dicha utilidad, como ocurre con Avast y algun otro, igual que todos tenemos por coincidencia de cadenas de deteccion

Examinada la version actual con Virus Total, de los 30 antivirus que lo integran, hay un falso popsitivo de Avast, y E-Safe y Panda lo consideran sospechoso :roll:

[quote="VirusTotal"]
Este es el resultado completo de analizar el archivo "EliStarA.exe" que VirusTotal ha recibido el día 15.03.2007 a las 12:40:26 (CET).

Antivirus Version Actualización Resultado

AhnLab-V3 2007.3.15.0 15.03.2007 no ha encontrado virus

AntiVir 7.3.1.43 15.03.2007 no ha encontrado virus

Authentium 4.93.8 14.03.2007 no ha encontrado virus

Avast 4.7.936.0 14.03.2007 Win32:Small-CPR

AVG 7.5.0.447 14.03.2007 no ha encontrado virus

BitDefender 7.2 15.03.2007 no ha encontrado virus

CAT-QuickHeal 9.00 14.03.2007 no ha encontrado virus

ClamAV 0.90.1 15.03.2007 no ha encontrado virus

DrWeb 4.33 15.03.2007 no ha encontrado virus

eSafe 7.0.14.0 14.03.2007 suspicious Trojan/Worm

eTrust-Vet 30.6.3480 15.03.2007 no ha encontrado virus

Ewido 4.0 15.03.2007 no ha encontrado virus

FileAdvisor 1 15.03.2007 no ha encontrado virus

Fortinet 2.85.0.0 15.03.2007 no ha encontrado virus

F-Prot 4.3.1.45 14.03.2007 no ha encontrado virus

F-Secure 6.70.13030.0 15.03.2007 no ha encontrado virus

Ikarus T3.1.1.3 15.03.2007 no ha encontrado virus

Kaspersky 4.0.2.24 15.03.2007 no ha encontrado virus

McAfee 4984 14.03.2007 no ha encontrado virus

Microsoft 1.2306 15.03.2007 no ha encontrado virus

NOD32v2 2116 14.03.2007 no ha encontrado virus

Norman 5.80.02 15.03.2007 no ha encontrado virus

Panda 9.0.0.4 15.03.2007 Suspicious file

Prevx1 V2 15.03.2007 no ha encontrado virus

Sophos 4.15.0 13.03.2007 no ha encontrado virus

Sunbelt 2.2.907.0 15.03.2007 no ha encontrado virus

Symantec 10 15.03.2007 no ha encontrado virus

TheHacker 6.1.6.076 15.03.2007 no ha encontrado virus

UNA 1.83 14.03.2007 no ha encontrado virus

VBA32 3.11.2 15.03.2007 no ha encontrado virus

VirusBuster 4.3.7:9 15.03.2007 no ha encontrado virus

Información adicional

Tamaño archivo: 264715 bytes

MD5: 5ca84c6245c47c3f64c6786510014bc3

SHA1: 677fd5b74acdbd15987efaad188c0062d6559fd9

packers: UPX
[/quote]

No hace falta decir que por supuesto es un falso positivo, que a veces ocurre al estar comprimido con UPX, pero cabe añadir que nuestras utilidades estan protegidas por cheksum y que si bien pueden infectarse como cualquier otro fichero, cualquier cambio sería detectado al alterar su inregridad, y daría el aviso de que fallaría el cheksum y que habia sido modificada problabmente por un virus, alertando al usuarìo´, y evitando la propagacion virica en su caso.

Tanto si fué el autor de este Tema como sino, sirva la presente para aclarar el particular, y recordar utilizar como clave de referencia el nick usado en el foro, no otro similar sino el nick !!!

saludos

ms, 15-03-2007