ADSL a velocidad de dial-up, virus indetectable

Ningyo · Mensaje por **Ningyo** » 25 May 2007, 09:57

Hola, escribo porque mi conexión, que debería ser de 640 KB, transfiere datos a 3 KB por segundo. Esto comenzó a suceder hace un mes aproximadamente; en aquel entonces la máquina tenía varios virus y archivos infectados, que hoy pude depurar gracias al AD-Aware SE Professional, el AVG 7.5 y el Eliitrip recomendado en esta página. También bajé el Spybot Search and Destroy, que encontró un par de spywares y los eliminó... Ahora pareciera estar todo limpio, ninguno de los programas detecta nada, y sin embargo la conexión sigue funcionando a 3 KB por segundo. El problema no es del proveedor, que ya mandó un técnico y me cambió el módem... Según el técnico, ni bien inicia la PC, y sin que se abra ningún programa, se abren por lo menos tres puertos que ocupan ancho de banda. Tampoco se puede navegar iniciando Windows en modo a prueba de fallos con funciones de red... Me dijo que probablemente se trate de un virus, pero no sé qué más hacer! Les agradecería muchísimo su ayuda.

Mensaje por **msc hotline sat** » 25 May 2007, 10:10

Pues si los anti... no detectan nada, investigaremos con nuestra herramienta SPROCES:

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 25-05-2007

Ningyo · Mensaje por **Ningyo** » 25 May 2007, 10:44

Este es el resultado:

Fri May 25 04:47:15 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIV~1\GRISOFT\AVG7\AVGAMSVR.EXE

C:\ARCHIV~1\GRISOFT\AVG7\AVGUPSVC.EXE

C:\ARCHIV~1\GRISOFT\AVG7\AVGEMC.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPSVC.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\SAVSCAN.EXE

C:\WINDOWS\SYSTEM32\SLSERV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SECURITY CENTER\SYMWSC.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG7\AVGCC.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clarin.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {00802B89-BE50-47A6-833D-ECD330BB73A7} - C:\WINDOWS\system32\nwapi16d.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [EPSON Stylus CX1500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE /P26 "EPSON Stylus CX1500 Series" /O6 "USB001" /M "Stylus CX1500"

O4 - HKLM\..\Run: [EPSON Stylus CX1500 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE /P37 "EPSON Stylus CX1500 Series (Copiar 1)" /O6 "USB002" /M "Stylus CX1500"

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: WGALOGON - (no file)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: AVG Network Redirector (AvgTdi) - GRISOFT, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdi.sys

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Creative AudioPCI (ES1371,ES1373) (WDM) (es1371) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\es1371mp.sys

O23 - Service: Mtlmnt5 - Smart Link - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlmnt5.sys

O23 - Service: Mtlstrm - Smart Link - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlstrm.sys

O23 - Service: NAVENG - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20070321.018\NAVENG.Sys

O23 - Service: NAVEX15 - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20070321.018\NavEx15.Sys

O23 - Service: NMUSB - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\nmusb.sys

O23 - Service: NtMtlFax - Smart Link - C:\WINDOWS\SYSTEM32\DRIVERS\NtMtlFax.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio Enumerator (nvax) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvax.sys

O23 - Service: NVIDIA nForce MCP Networking Adapter Driver (NVENET) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENET.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio (nvnforce) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvapu.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Prolific Serial port driver (Ser2pl) - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ser2pl.sys

O23 - Service: Smart Link 56K Modem Driver (Slntamr) - Smart Link - C:\WINDOWS\SYSTEM32\DRIVERS\slntamr.sys

O23 - Service: SlNtHal - Smart Link - C:\WINDOWS\SYSTEM32\DRIVERS\Slnthal.sys

O23 - Service: SlWdmSup - Smart Link - C:\WINDOWS\SYSTEM32\DRIVERS\SlWdmSup.sys

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: VideoCAM Look (snpstd2) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snpstd2.sys

O23 - Service: SymEvent - Symantec Corporation - C:\Archivos de programa\Symantec\SYMEVENT.SYS

O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

42 Servicios.

15 de Carga Automatica.

26 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 25 May 2007, 11:17

Tiene Norton y AVG instalados . Desinstale uno de los dos para evitar colisiones y ralentizacion.

Pruebe el ELISTARA a ver si controla este lsasss.exe que lanza en el registro

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Si tras reiniciar persiste el problema, pruebe eliminar manualmente las siguientes claves si aun estan:

O2 - BHO: (no name) - {00802B89-BE50-47A6-833D-ECD330BB73A7} - C:\WINDOWS\system32\nwapi16d.dll (file missing)

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

O20 - Winlogon Notify: WGALOGON - (no file)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 25-05-2007

Ningyo · Mensaje por **Ningyo** » 25 May 2007, 12:17

Ya había probado el ELISTARA antes de utilizar el SProces, y había borrado algunos archivos infectados... De todas manera no borró esos que me señalaste vos (y por eso aparecieron en el análisis).

A "O2 - BHO: (no name) - {00802B89-BE50-47A6-833D-ECD330BB73A7} - C:\WINDOWS\system32\nwapi16d.dll (file missing)" lo pude borrar manualmente.

Pero cuando intento borrar " O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe " me dice que se me ha denegado el acceso, que compruebe que el disco no esté protegido contra escritura ni el archivo esté siendo utilizado...

Y esto directamente no sé que es ni lo encontré:

O20 - Winlogon Notify: WGALOGON - (no file)

¿Cómo hago para borrar ese tal lsasss? Muchas gracias por tomarte el trabajo de ver lo que está pasando y ayudarme.

Acá está lo que dice el InfoSat:

Fri May 25 01:28:19 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Fri May 25 01:28:49 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{5950D50D-200B-4DB6-B90D-3AD995F33F63}\RP311\A0047292.exe --> Eliminado, Malware(uaservice)

Fri May 25 01:42:23 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Fri May 25 01:46:08 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Fri May 25 01:46:22 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\UAService7.exe.vir --> Eliminado, Malware(uaservice)

Exploración Detenida por el Usuario.

Fri May 25 02:18:06 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Fri May 25 02:18:22 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri May 25 04:31:35 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri May 25 04:32:52 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\NWAPI16D.DLL --> Eliminado, KeenValue

C:\Archivos de programa\Image-Line\FL Studio 6\Plugins\Fruity\Generators\Sytrus\SYTRUS.DLL --> Eliminado, Spy.Delf (BHO)

C:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT

C:\System Volume Information\_restore{5950D50D-200B-4DB6-B90D-3AD995F33F63}\RP309\A0046754.DLL --> Eliminado, KeenValue

C:\System Volume Information\_restore{5950D50D-200B-4DB6-B90D-3AD995F33F63}\RP311\A0047355.DLL --> Eliminado, KeenValue

C:\System Volume Information\_restore{5950D50D-200B-4DB6-B90D-3AD995F33F63}\RP311\A0047356.DLL --> Eliminado, Spy.Delf (BHO)

C:\System Volume Information\_restore{5950D50D-200B-4DB6-B90D-3AD995F33F63}\RP311\A0047357.DLL --> Eliminado, Dumaru BDoor-CCT

Fri May 25 04:40:12 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Mensaje por **msc hotline sat** » 25 May 2007, 14:14

Pues este LSASSS.EXE es una nueva variante que hemos de analizar para poder controlar y eliminar

Envianos muestra del fichero:

C:\WINDOWS\system32\lsasss.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 25-05-2007

Ningyo · Mensaje por **Ningyo** » 25 May 2007, 20:15

Ya mandé el fichero problemático y otro que pareciera estar relacionado. De todas maneras, mirando bien resulta que no es "lsassS.exe", con tres "s", sino "lsass", con dos...

En fin. ¿Pensás que este pueda ser el causante de la lentitud de mi conexión? ¿Por qué no podré navegar en modo seguro con funciones de red...? (en modo seguro tampoco lo puedo borrar manualmente al "lsass"). Todavía no entiendo eso de los puertos que se abren al comienzo que me señaló el técnico (en realidad no entiendo nada de funcionamiento de virus ni de informática en general, pero bueh...). Gracias de nuevo.

Mensaje por **msc hotline sat** » 26 May 2007, 10:54

No, el lsass.exe de la carpeta de sistema es de windows, es el otro lsasss, con tres eses al final, el que posiblemente es un malware y necesitamos que nos envies, pero puede estar oculto...:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

en cualquier caso, lanza un Inicio -> Buscar -> Todas las carpetas y ficheros -> LSASSS.EXE

espero que lo encuentres y nos lo envies para analizar y controlar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 26-05-2007

Ningyo · Mensaje por **Ningyo** » 26 May 2007, 11:53

No está... La opción para ver las carpetas y los archivos ocultos está activada, sin embargo no puedo encontrar ese archivo, ni con el buscador de Windows ni manualmente, es como si no existiera. Pero si activo SProces sigue figurando en el análisis...

Mensaje por **msc hotline sat** » 26 May 2007, 13:16

Pues parece que este tiene miga !:

"Pero cuando intento borrar " O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe " me dice que se me ha denegado el acceso, que compruebe que el disco no esté protegido contra escritura ni el archivo esté siendo utilizado... "

posiblemente se trate de un Rootkit que esconde claves, ficheros y tareas del malware para despistar...

Y si no llegas a verlo, pues ahí lo hubieras tenido hasta .... !!!

Prueba de arrancar en modo seguro, a ver si asi lo ves, y si es asi, lo empaquetas en un ZIP o RAR con password VIRUS y lo copias a un disquete para poder enviarnoslo por mail luego, arrancando en modo normal

Y si ni asi lo encuentras, prueba de copiar un fichero con dicho nombre a la carpeta de sistema, y espero que no puedas al ya existir...

Y nos cuentas el resultado, gracias

saludos

ms, 26-05-2007

Ningyo · Mensaje por **Ningyo** » 26 May 2007, 20:42

Imposible encontrarlo, ni siquiera en modo a prueba de fallos, ni pegando un fichero con el mismo nombre. Personalmente creo que no existe tal archivo... No cabe la posibilidad de que el SProces se equivoque y escriba "lsasss" en lugar de "lsass"? Porque yo también me había equivocando, cuando dije que no podía borrar el "lsasss" me refería a que no podía borrar el "lsass" que te mandé...

Mensaje por **msc hotline sat** » 26 May 2007, 20:55

Buenooooo, antes de que se equivoque el ordenador hay el 99 % de probabilidades que lo hagamos nosotros... No, lo de lsasss es una argucia ya conocida otras veces para pasar desapercibido.

Veamos, prueba de copiar un fichero cualquiera a LSASSS.EXE y luego lo intentas copiar a la carpeta de sistema, C:\WINDOWS\system32\ , a ver si lo copia o dice que no puede, que ya existe ...

y nos dices el resultado, gracias

saludos

ms, 26-05-2007

Si asi se demuestra que está, lo sacaremos arrancando en consola de recuperacion, que es la forma que no se puedan esconder. ms.

Ningyo · Mensaje por **Ningyo** » 26 May 2007, 23:17

Perdón, ¿qué significa exactamente copiar un archivo a LSASSS.EXE? Es decir, no puedo ubicar ese archivo, y de todos modos cómo se copia un archivo sobre otro? (Perdón por la ignorancia, pero mis conocmientos son muy básicos). Lo que hice antes fue nombrar un archivo "lsasss.exe" e introducirlo en la carpeta system32, y el sistema no me lo impidió.

Mensaje por **msc hotline sat** » 27 May 2007, 12:54

Pues de eso se trataba, pero que en lugar de renombrar lo copiaras para no perderlo, pues ahora el que renombraste lo tienes con el otro nombre...

Bueno pues si dices que pudiste hacerlo, luego puedes ahora encontrarlo, y verlo ???

Es que si hubiera un RootKit igual no lo verías...

Ya me dirás

saludos

ms, 27-05-2007

Ningyo · Mensaje por **Ningyo** » 27 May 2007, 20:24

Sí, al que pegué bajo el nombre de lsasss.exe puedo encontrarlo y verlo.

Mensaje por **msc hotline sat** » 27 May 2007, 20:33

Entonces realmente no lo tenías...

Pues no cuadra que no puedas eliminar esta clave:

"Pero cuando intento borrar " O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe " me dice que se me ha denegado el acceso, que compruebe que el disco no esté protegido contra escritura ni el archivo esté siendo utilizado... "

si dices que el fichero no se encuentra, bueno vamos a hacerle la puñeta. Veras, un fichero se puede sobreescribir, y podría ser que en cada reinicio un malware nos creara dicho lsasss.exe y lo dejara activo de forma que no pudieramos borrar la clave, pues bien, tras borrar el archivo que has creado con el nombre de lasasss.exe, vas a crear dentro de C:\windows\system32\ una carpeta con el nombre de LSASSS.EXE , sí, no te extrañe, las carpetas tambien pueden tener extension

Entonces reinicia el equipo y tras ello mira de borrar la clave de marras, lo cual quizas podrás dado que no habrá podido crear ningun fichero con este nombre al estar el mismo ocupado por la carpeta.

Bueno, y si con eso conseguimos cargarnos la clave, ya sabemos que era porque la hipótesis era cierta...

Nos cuentas el resultado, gracias

saludos

ms, 27-05-2007

Mensaje por **msc hotline sat** » 28 May 2007, 18:10

recibidas muestras correspondientes a ficheros del sistema, logicamente sin rutinas viricas.

saludos

ms, 28-05-2007

Ningyo · Mensaje por **Ningyo** » 28 May 2007, 20:24

Con respecto a esto (me parece que hay una confusión):

"Pero cuando intento borrar ' O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe ' me dice que se me ha denegado el acceso, que compruebe que el disco no esté protegido contra escritura ni el archivo esté siendo utilizado... "

Como te dije antes, me confundí. Nunca pude dar con ese tal lsasss.exe, el archivo que no podía borrar es el que te mandé, que tiene sólo dos "s" (y que ahora me entero que es del sistema).

Hice lo que me indicaste y al reiniciar la carpeta "lsesss.exe" se abrió sola en el escritorio. Sin embargo no pasó nada más. Mi conexión sigue funcionando pésimo, y parece que no hay nada malo en mi PC! Me quedé pensando en eso de que se me abrían puertos solos al iniciar, y que eso podría estar robándome ancho de banda, así que me bajé el ZoneAlarm Pro, pero no estoy seguro de cómo utilizarlo ni qué bloquar o permitir... En fin. ¿Hay algo más que pueda hacer?

Mensaje por **msc hotline sat** » 28 May 2007, 20:28

Habia indicado que crearas una carpeta nueva en las carpeta de sistema, a la que llamaras LSASSS.EXE. Lo has podido hacer ???

Si es asi, tras reiniciar ya no podrá crear el fichero con dicho nombre, si es que es lo que hace, esté oculto o no.

Dinos si lo has hecho y si tras reiniciar persiste el problema, gracias

saludos

ms, 28-05-2007

Ningyo · Mensaje por **Ningyo** » 28 May 2007, 21:52

Sí, pude, y como te dije, no pasó nada, salvo que cuando reinicié la carpeta que creé se abrió sola en el escritorio. Pero la conexión sigue transfiriendo datos a 1 o 2 kbps! = (

Mensaje por **msc hotline sat** » 28 May 2007, 22:03

Pues que siga estando la carpeta indicada, es importante saber que ahora existe y puedes ver la carpeta C:\windows\system\lsasss.exe\

A partir de aqui ya sabemos que no podrá lanzar dicho fichero, por lo que la clave debes poder eliminarla, o no está creada dicha carpeta..., asi que prueba, elimina:

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

que no te podrá decir acceso denegado, si existe la carpeta arriba indicada...

pero asegurate antes, claro !

Haz un Inicio -> Buscar -> Todos las carpetas y ficheros -> LSASSS.EXE y tiene que encontrar dicha carpeta, si existe.

Y nos cuentas el resultado, pero si la velocidad es lenta, si no es esto, no vemos lo que lo causa.

saludos

ms, 28-05-2007

Ningyo · Mensaje por **Ningyo** » 28 May 2007, 22:44

"O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

que no te podrá decir acceso denegado, si existe la carpeta arriba indicada..."

Repito... Nunca existió ese tal lsasss.exe, o al menos yo nunca lo vi. ~~[b]~~Lo que el sistema no me permitía borrar, el archivo al cual me denegaba el acceso, es "[u]lsass.exe[/u]", el archivo de sistema que mandé para que analizaran ustedes (sin saber que era un archivo de sistema, claro)[/b]. A eso voy, nunca voy a poder borrar ese tal lsasss.exe porque no está en ninguna parte! No lo puedo ver, nunca lo vi, fue una confusión de nombres. Creo que la solución a todo esto será dar de baja el servicio y contratar otro...

Mensaje por **msc hotline sat** » 29 May 2007, 10:01

A ver, al fichero lsass.exe dejalo en paz que es del sistema .

Y sino tienes el fichero lsasss.exe pues lo entendemos, pero lo que te estamos diciendo es que borres la clave, ya nada del fichero si no lo tienes ! :

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

y si has hecho lo de crear la carpeta que te deciamos, esta clave la debes poder borrar conforme indicamos en:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 29-05-2007

ADSL a velocidad de dial-up, virus indetectable

ADSL a velocidad de dial-up, virus indetectable

Resultado