Posible virus (SOLUCIONADO)

vangelsin075 · Mensaje por **vangelsin075** » 09 May 2007, 14:09

Hola a todos , soy nuevo en esto, asi que espero que tengais un poco de paciencia conmigo si meto en algo la pata. bueno la cuestion es que tengo un problemilla con el xp, pues es que me he bajado el emulador de xp para jugar a la play station, y se me corta el juego y ha veces se me bloquea, por lo que tengo que desconectar la cpu y volver a cargar todo otra vez. A raiz de esto tambien me falla en algunas paginas de internet o cuando descargo archivos, cayendoseme la conexion o colgandose. le he pasado el hijackthis, asi que aqui hos dejo lo que me sale a ver si puede ser que sea por algun virus o spyware. Gracias! de antemano.

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\lsas.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\DOCUME~1\topito\CONFIG~1\Temp\Rar$EX00.320\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intranet.gc/_intranet_HTML.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = by ToPiTo

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.5:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Get more skins - {3A623311-14F0-11d3-954F-0050047A7470} - http://come.to/tronds (file missing)

O9 - Extra 'Tools' menuitem: Get more skins - {3A623311-14F0-11d3-954F-0050047A7470} - http://come.to/tronds (file missing)

O9 - Extra button: Start IES. - {777786C1-14F4-11d3-954F-0050047A7470} - C:\Archivos de programa\IES\IES.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155563517729

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://globet.microgaming.com/globetvip/FlashAX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4E9E120E-FAAB-49E4-9420-4B99699F8D66}: NameServer = 172.16.0.5,172.16.0.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{4E9E120E-FAAB-49E4-9420-4B99699F8D66}: NameServer = 172.16.0.5,172.16.0.2

O17 - HKLM\System\CS2\Services\Tcpip\..\{4E9E120E-FAAB-49E4-9420-4B99699F8D66}: NameServer = 172.16.0.5,172.16.0.2

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\lsas.exe" /service (file missing)

:!: :!:

Mensaje por **msc hotline sat** » 09 May 2007, 15:05

Tiene un malware que es novedoso:

C:\WINDOWS\system32\lsas.exe

envienos muestra de este fichero para analizar.

Fijese que no es el LSASS.EXE del sistema, sino que a este le falta la ultima S, no se confunda

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 9-05-2007

Mensaje por **msc hotline sat** » 09 May 2007, 15:08

Tiene un malware que es novedoso:

C:\WINDOWS\system32\lsas.exe

envienos muestra de este fichero para analizar.

Fijese que no es el LSASS.EXE del sistema, sino que a este le falta la ultima S, no se confunda

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 9-05-2007

Nota: Puede TAMBIEN probar el ELISTARA :

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

vangelsin075 · Mensaje por **vangelsin075** » 10 May 2007, 23:37

hola, este tipo de malware que puede tratarse de algun tipo de troyano o backdoors??? aqui te mando el contenido de C:\infosat.txt:

Thu May 10 22:11:05 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu May 10 22:12:01 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

Mensaje por **msc hotline sat** » 11 May 2007, 07:58

Nos ha enviado la muestra que le pediamos ???

[quote]C:\WINDOWS\system32\lsas.exe

envienos muestra de este fichero para analizar.

Fijese que no es el LSASS.EXE del sistema, sino que a este le falta la ultima S, no se confunda[/quote]

No nos consta haberla recibido segun indicamos:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

En cualquier caso, repita el envio, pues es lo que tiene malware.

Aparte lance un windowsupdate para actualizar los parches pendientes de instalar.

saludos

ms, 11-05-2007

Nota: Puede ser cualquier cosa. Vemos que no es el troyano que ya conocia de antaño el ELISTARA, puede ser un Gaobot o SdBot no controlado, por esto necesitamos muestra.

vangelsin075 · Mensaje por **vangelsin075** » 13 May 2007, 19:53

hola, ya hos he enviado el archivo que me pedisteris, lo envio por msn con el nombre de "virus" es que desde el enlace que me disteis lo intente varias veces pero no me dejo. Ya me contareis haber de que se trata.

saludos!!!

Mensaje por **lucl** » 13 May 2007, 23:28

si lo has comprimido no tiene porque haber ningun problema, pero bueno si lo has enviado con tu nick de referencia estupendo, estate atento a tu post pues te diran algo a lo largo del dia, saludos

Mensaje por **msc hotline sat** » 14 May 2007, 19:45

La nueva version 3.55 del ELITRIIP (que corresponde a mañana) ya controla el LSAS.EXE de marras, y se lo subo para que pueda probarlo

saludos

ms, 14-05-2007

Mensaje por **msc hotline sat** » 14 May 2007, 20:00

Ya se ha subido la version adecuada para su caso:

https://foros.zonavirus.com/viewtopic.php?p=97243#97243

descarguela de:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 15-05-2007

vangelsin075 · Mensaje por **vangelsin075** » 17 May 2007, 19:52

hola, perdonad la tardanza, pero es que estos dias no he tenido tiempo para postear, aqui hos dejo el infosat.txt, ya me direis a ver que tal??? :

Thu May 17 18:26:27 2007

EliTriIP v3.55 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\LSAS.EXE --> Renombrado a .VIR

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu May 17 18:26:52 2007

EliTriIP v3.55 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu May 17 18:33:07 2007

EliTriIP v3.55 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Thu May 17 18:45:49 2007

EliTriIP v3.55 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu May 17 18:46:00 2007

EliTriIP v3.55 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\LSAS.EXE.VIR.vir --> Eliminado, RAdmin.21

VAMPIRA · Mensaje por **VAMPIRA** » 17 May 2007, 20:17

Te falta actualizaciones de windows update, entra windows update y descarga las actualizaciones que te faltan.

Tambien te falta el parche de seguridad Parche MS06-070

Esto lo puedes encontrar en la pagina oficial de windows.

Bajate las actualizaciones y el parche, y luego comentas si se ha solucionado el problema.

Saludos

Mensaje por **lucl** » 17 May 2007, 20:25

Eliminado pues

C:\WINDOWS\system32\LSAS.EXE.VIR.vir --> Eliminado, RAdmin.21

y como te indica vampira actualiza el pc

https://support.microsoft.com/es-es/help/12373/windows-update-faq

y nos informas si puede darse por solucionado, saludos

vangelsin075 · Mensaje por **vangelsin075** » 19 May 2007, 17:22

hola, problema solucionado :!::!::!: :) ya me funciona perfectamente todo.

muchisimas gracias a todos los que me habeis ayudado por vuestra paciencia y por solucinarme el tema :oops: VAMPIRA, lucl y msc hotline sat, eres un fenomeno. saludos!!!

Mensaje por **lucl** » 19 May 2007, 22:19

nos alegramos pues, vuelve cuando quieras, :lol: saludos

Mensaje por **msc hotline sat** » 19 May 2007, 22:21

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 19 de Mayo de 2007