Win32/Brontok.CO

Almava · Mensaje por **Almava** » 10 Sep 2007, 14:17

Hola a todos!

El viernes pasado my antivirus NOD32 me dijo que tenía un virus cuyo codigo malicioso es Win32/Brontok.CO. Me dijo que había puesto el virus en cuarentena, pero despues me empezo a dar problemas el antivirus para actualizarlo.

Al tener poblemas y no saber que pasaba, decidi pedir el antivirus que me ofrece mi universidad por ser estudiante, el McAfee. El caso es que una vez instalado este nuevo antivirus y haber escaneado el ordenador no encuentra este virus y me extraña bastante porque supuestamente, segun el NOD32, me había afectado varios archivos o eso entendi yo. Eso si, cuando intentaba llegar a los archivos que me indicaba el NOD32 no conseguía llevar a ellos, habia parte de la ruta que no se correspondia con nada, a lo mejor hay alguna carpeta oculta o algo que yo no conozco. Debería eliminar los archivos? Como? Si no lo reconoce el McAfee es que ya no esta el virus?

Agradeceria mucho muchismo la ayuda de vosotros. Estoy escribiendo mi proyecto y estoy preocupada de perder el trabajo que he hecho durante estos cuatro ultimos meses.

Mensaje por **lucl** » 10 Sep 2007, 14:57

si el nod32 lo puso en cuarentena igual por eso no lo detecta el macfee, pero pasate estos dos programas que te indico y veamos si te lo detectan, saludos

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

Mensaje por **flacoroo** » 10 Sep 2007, 15:03

ok alma tal como te dijo lucl pasate esos dos programas, pero hazlo reiniciando tu compu en modo seguro y ahi los ejecutas, tambien por cualquier cosa haz un respaldo de tu proyecto, al terminar de ejecutarse los programas mencionados, se creara un archivo en C:infosat.txt, lo abres y copias y nos pegas el resultado para ver que acciones se ejecutaron.

Almava · Mensaje por **Almava** » 10 Sep 2007, 15:56

Cuando he ejecutado los programas que me habeis dicho (con el ordenador en modo seguro) he dicho a todo que no, (por ejemplo cuando se me dice "Revise la Lista de Sitios de Confianza del IExplorer, (Herrramienta/Opciones de Internet/Seguridad) y elimine aquellos sitios que no sean de su confianza o tenga dudas. Quiere Eliminar TODOS los Sitios de Confianza desde aqui?" he dicho que no) Supongo que deberia decir que si, pero como no estoy segura y me preguntaba por eliminar cosas dije "no" para intentar no hacer ningun mal mayor al ordenador. Debo volverlos a pasar diciendo a todo que si? (Soy muy mala con los ordenadores, lo siento!!! :( )

Abajo, os adjunto lo que aparece en C:infosat.txt, para que me digais si tengo que hacer algo mas para eliminar el virus o ya esta eliminado y mi problema esta solucionado (y mi proyecto salvado).

Un millon de gracias por vuestra ayuda.

Almava · Mensaje por **Almava** » 10 Sep 2007, 16:02

Olvide adjunar la informacion de la C:infosat.txt.

Mon Sep 10 14:55:13 2007

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones (por Accion Directa):

Mon Sep 10 14:57:12 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones (por accion Directa):

Mensaje por **lucl** » 10 Sep 2007, 16:39

BIen, debes decir a todo que si, ademas te falta el analisis por exploracion, ya que solo tienes el de accion directa, cuando terminas de limpiar temporales te sale un cuadro grande que dice explorar, dale ahi y espera que termine el analisis, luego nos pegas el log, saludos

Almava · Mensaje por **Almava** » 10 Sep 2007, 19:08

Hola de nuevo! Creo que ahora lo he hecho bien,o eso espero. Eso si, cuando estaba pasando el analisis por exploracion de Elitrip (en EliStarA no me aparece ninguna pantalla al final) me han aparecido varias veces ventanitas diciendo:

"Acceso denegado a la carpeta: C:\......." Tengo que escribiros todos los archivos a los que no ha podido acceder? Son varios.

Tambien os adjunto un archivo mostrandoos la pantalla final que me aparecia al terminar de pasar EliTrip. El numero total de de ficheros (85241) y el numero de ficheros analizados (20900) no se corresponde y la diferencia es muy grande. Es eso normal?

La informacion de la C:infosat.txt que se creo es:

Mon Sep 10 17:23:24 2007

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Sep 10 17:24:32 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Sep 10 17:24:34 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Espero que esto os ayude a que me podais ayudar.

Un saludo.

Almava · Mensaje por **Almava** » 10 Sep 2007, 19:11

encontrar el pantallazo que os comentaba anteriormente sobre la diferencia entre archivos analizados y archivos totales.

Un saludo.

Mensaje por **lucl** » 10 Sep 2007, 22:11

lo de los archivos es normal, eso es que se limita a analizar los que pueden ser susceptibles de ser infectados . Y mira de hacernos una captura de los archivos que te dice elistara y si no puedes copianoslos para ir viendo, saludos

Almava · Mensaje por **Almava** » 16 Sep 2007, 12:45

Hola de nuevo!

Siento haber tardado tanto en dar senales de vida. Tuve que salir de la ciudad unos dias y no he tenido internet. Todavia sigo con el problema (o eso creo del virus) asi que con vuestra ayuda intentare continuar resolviendolo.

Con respecto al ultimo mensaje que me has mandado, lucl, no entiendo exactamente que quieres que haga. Elistara no me da ninguna pantalla al final en la que me diga explorar los archivos. (Lo acabo de volver a pasar y no me da ninguna opcion) Encuentra abajo la C:/InfoSat.txt

Mon Sep 10 17:23:24 2007

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Sep 10 17:24:32 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Sep 10 17:24:34 2007

EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Sep 16 11:41:11 2007

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

O te refieres que os escriba todos los archivos a los que elitrip no tuvo acceso?

Un saludo

Mensaje por **msc hotline sat** » 16 Sep 2007, 13:05

Al igual que pulsaste con el ELITRIIP la pestaña de EXPLORAR, debes hacerlo con el ELISTARA cuando aparece la pantalla de SATINFO correspondiente

Con ello exploraras toda la unidad seleccionada y sabremos si hay ficheros considerados malwares o sospechosos para analizar

Vuelve a probar el ELISTARA y cuando aparezca dicha pantalla, pulsa en EXPLORAR y tras ello reinicias y nos vuelves a postear el contenido del c:\infosat.txt, en el que aparecerá lo encontrado en la Exploracion del ELISTARA

saludos

ms, 16-09-2007

nota: la pantalla en cuestion es muy similar que la que posteas en la imagen.jpg, pero del ELISTARA

Almava · Mensaje por **Almava** » 16 Sep 2007, 13:23

Bien, lo he vuelto a intentar de nuevo, y esa pantalla no me aparece (solo me salio en Elitrip), con lo cual no puedo dar al boton explorar. Que hago? He probado a bajarme otra vez el ElistarA, lo he pasado y nada, sigue sin aparecerme esa ventana tampoco! Alguna sugerencia de que hacer?

Otro saludo.

Mensaje por **msc hotline sat** » 16 Sep 2007, 13:43

Tienes algo en el registro que impide pasar de ahí.

Pruebalo desde Inicio -> ejecutar añadiendo /SALTAREG

O sea:

ELISTARA /SALTAREG

saludos

ms, 16-09-2007

Almava · Mensaje por **Almava** » 16 Sep 2007, 13:54

Hola de nuevo!

Acabo de intentar de ejecutarlo como me dices, pero no hay manera. Me aparece una ventanita con el siguiente texto:

ELISTARA/SALTAREG

Windows no puede encontrar el archivo 'ELISTARA/SATAREG'. Asegurese de que la ruta y el nombre de archivo estan escritos correctamente y vuelva a intentarlo. Para buscar un archivo, haga clic en el boton Inicio y lu7ego en Buscar.

Siguiente paso?

Saludos.

Mensaje por **lucl** » 16 Sep 2007, 14:50

ejecuta hijackthis y lo analizaremos, saludos

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

Almava · Mensaje por **Almava** » 16 Sep 2007, 15:33

cuando intento ejecutarlo me aparecen dos warnings (adjuntos) que no entiendo, es normal? Continuo adelante con el "Do a system scan and save a logfile"?

Saludos.

Mensaje por **lucl** » 16 Sep 2007, 16:49

prueba el sproces, te dejara un log en C que se llama sproclog.txt , nos lo pegas, saludos

http://www.zonavirus.com/descargas/sproces.asp

Mensaje por **msc hotline sat** » 16 Sep 2007, 20:31

Aparte de lo indicado por lucl, yo sigo con lo del ELISTARA:

Mueve el ELISTARA.EXE a la carpeta de sistema, que en XP es c:\windows\system32\

Abre una ventana al DOS ejecutando el CMD.EXE y una vez en pantalla negra, escribe

ELISTARA /SALTAREG y pulsa ENTER

ojo que antes decias SATAREG y es SALTAREG

nos comnetas el resultado, gracias

saludos

ms, 16-09-2007

Almava · Mensaje por **Almava** » 17 Sep 2007, 10:50

Os adjunto sproclog.txt y lo que me salio en la pantalla negra.

Paso siguiente?

Saludos.

Almava · Mensaje por **Almava** » 17 Sep 2007, 10:52

Veo que no se debe haber pegado bien el sproclog.txt. Aqui os pego lo que hay en este archivo. Espero que os ayude a ayudarme. Un saludo.

Mon Sep 17 09:28:53 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\MARIANO\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: ShowBarObj Class - {43AE45CB-DDA7-454B-9650-93A4C090BDB8} - C:\Archivos de programa\Eyetide Media\Eyetide Viewer\Toolbar\ETBar.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan Enterprise\scriptcl.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &EyeTideBar - {987D027C-F0EF-40fa-9A1A-C45007F1F36F} - C:\Archivos de programa\Eyetide Media\Eyetide Viewer\Toolbar\ETBar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [VoipStunt] "C:\Archivos de programa\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized

O4 - HKLM\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKLM\..\Run: [VoipBuster] "C:\Archivos de programa\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CplBCL50] C:\Archivos de programa\EzButton\CplBCL50.EXE

O4 - HKLM\..\Run: [NWEReboot]

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: Microsoft Works Calendar Reminders.lnk

O4 - Global Startup: Post-it® Software Notes Lite.lnk

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ArcGIS License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\arcgis9x\lmgrd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Bluetooth Serial Driver (BTSERIAL) - Unknown owner - C:\WINDOWS\System32\drivers\btserial.sys

O23 - Service: Bluetooth Port Client Driver (BTSLBCSP) - Unknown owner - C:\WINDOWS\System32\drivers\btslbcsp.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\vstskmgr.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sentinel - Rainbow Technologies, Inc. - C:\WINDOWS\System32\Drivers\SENTINEL.SYS

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)

O23 - Service: Bluetooth Audio (BtAudio) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btaudio.sys

O23 - Service: Bluetooth Virtual Communications Driver (BTDriver) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Bluetooth LAN Access Server (BTWDNDIS) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: Panda Anti-Dialer (ComFiltr) - Unknown owner - C:\WINDOWS\system32\DRIVERS\COMFiltr.sys (file missing)

O23 - Service: Dritek HotKey Keyboard Filter Driver (DKbFltr) - Dritek System Inc. - C:\WINDOWS\SYSTEM32\Drivers\DKbFltr.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - Elaborate Bytes - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: McAfee Inc. (mfeapfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeapfk.sys

O23 - Service: McAfee Inc. (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. (mfehidk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfehidk.sys

O23 - Service: Mtlmnt5 - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlmnt5.sys

O23 - Service: Mtlstrm - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlstrm.sys

O23 - Service: NtMtlFax - - C:\WINDOWS\SYSTEM32\DRIVERS\NtMtlFax.sys

O23 - Service: PCTINDIS5 NDIS Protocol Driver (PCTINDIS5) - PCTEL Inc. - C:\WINDOWS\system32\PCTINDIS5.SYS

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\R8139n51.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SmartLink AMR_PCI Driver (Slntamr) - - C:\WINDOWS\SYSTEM32\DRIVERS\slntamr.sys

O23 - Service: SlNtHal - - C:\WINDOWS\SYSTEM32\DRIVERS\Slnthal.sys

O23 - Service: SlWdmSup - Vireo Software - C:\WINDOWS\SYSTEM32\DRIVERS\SlWdmSup.sys

O23 - Service: SMC IrCC Miniport Device Driver (SMCIRDA) - SMC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Controlador de adaptador Intel(R) PRO/Wireless 7100 para Windows XP (w70n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w70n51.sys

O23 - Service: Winbond Secure Digital Storage Device Driver (WBSD) - Winbond Electronics Corp. - C:\WINDOWS\SYSTEM32\Drivers\WBSD.SYS

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)

45 Servicios.

12 de Carga Automatica.

29 de Carga Manual.

4 Deshabilitados.

Almava · Mensaje por **Almava** » 17 Sep 2007, 11:04

Comentaros que no me funciona el messenger, no se si eso os diga algo a vosotros. No se si es debido al virus, a que he cambiado de antivirus.....

Cuando intento conectar el messenger, aparece un mensaje que desaparece super rapido (No da tiempo ni a leer el mensaje, solo que da las opciones de Si y No, pero no da tiempo a cambiar la opcion ni nada). Luego no se puedo cerrar la ventana del messenger (el cual no ha comenzado a funcionar) y queda bloqueada, solo con el administrador de tareas de Windows puedo finalizar la aplicacion del messenger.

Un saludo.

Mensaje por **msc hotline sat** » 17 Sep 2007, 11:06

No hay nada tipìcamente conocido como malware, solo algunos desconocidos, entre los cuales destacan estos:

O23 - Service: Bluetooth Serial Driver (BTSERIAL) - Unknown owner - C:\WINDOWS\System32\drivers\btserial.sys

O23 - Service: Bluetooth Port Client Driver (BTSLBCSP) - Unknown owner - C:\WINDOWS\System32\drivers\btslbcsp.sys

que podrian ser algo de wifi, pero ... envienos los ficheros en cuestion para analizar

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y vemos un servicio de Panda, cuando tiene instalado McAfee. Vea de desinstalar completamente el panda que posiblemente tenia anteriormente

y nos comenta elr esultado, gracias

saludos

ms, 17-09-2007

Almava · Mensaje por **Almava** » 17 Sep 2007, 11:20

Hola, ya os he mandado los archivos que me pedias al zonavirus@satinfo.es. Y como puedo desintalar el panda completamente?

Ya me comentais.

Gracias

Saludos.

Mensaje por **msc hotline sat** » 17 Sep 2007, 12:07

No habiendo detectado rutinas sospechosas es los ficheros recibidos, sube estos tres ficheros al VirusTotal y solo si alguien detecta algo, luego nos los envias para analizat

C:\WINDOWS\Java\classes\dajava.cab

C:\WINDOWS\Java\classes\xmldso.cab

C:\WINDOWS\SYSTEM32\DRIVERS\btaudio.sys

https://www.virustotal.com/es/

y elimina estas claves:

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)

O23 - Service: Panda Anti-Dialer (ComFiltr) - Unknown owner - C:\WINDOWS\system32\DRIVERS\COMFiltr.sys (file missing)

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Pero aparte está lo del ELISTARA, que quedó pendiente... prueba de lanzarlo con la opcion /SALTAREG, desde una ventana al DOS, habiendolo copiado antes en la carpeta de sistema, C:\windows\system32

y tras reiniciar, nos posteas con un copiar y pegar el contenido de C:\infosat.txt

y a la vista de lo que nos digas, seguiremos

saludos

ms, 17-09-2007

Almava · Mensaje por **Almava** » 17 Sep 2007, 12:40

Hola de nuevo.

Desde mi total ignorancia y desconocimiento, tengo una preguntita con respecto a la eliminacion de las claves que me decis. Como debo lanzar el HJT? TEngo que descargarlo de algun sitio o se encuentra en mi ordenador? Y sobre el FIX CHECKED las mismas preguntas.

Ahora mismo no puedo conectar mi ordenador infectado a internet porque hay problemas con la conexion WIFI. Puedo copiar los archivos que tengo que subir en VirusTotal en el ordenador que estoy utilizando para mandaros los mensajes al foro y subirlos a VirusTotal desde este ordenador en vez desde el infectado? Hay algun problema para la subida y analisis de estos archivos si lo hago asi?

Encuentrad adjunto lo obtenido con respecto a ELISTARA. Sigue sin poder ejecutarse. :(

Saludos.

Almava · Mensaje por **Almava** » 17 Sep 2007, 12:48

Parece que ahora mismo tengo internet en mi ordenador afectado, asi que voy a intentar subir los archivos que me comentabais y contaros lo que pasa. Saludos

Almava · Mensaje por **Almava** » 17 Sep 2007, 13:00

No logro encontrar los archivos

C:\WINDOWS\Java\classes\dajava.cab

C:\WINDOWS\Java\classes\xmldso.cab

para subirlos a VirusTotal, se supone que deben estar en alguna carpeta oculta o algo asi?

Mensaje por **lucl** » 17 Sep 2007, 13:12

prueba esto para encontrarlos

Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas

ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar

y luego buscalos siguiendo la ruta o con un inicio---buscar, nos cuentas si pudiste, saludos

Mensaje por **msc hotline sat** » 17 Sep 2007, 13:19

Tambien con un Inicio -> Buscar -> en todos los ficheros y carpetas si están los deberias encontrar, aunque estuvieran ocultos.

Y si no están, eliminaremos las claves que los llaman.

saludos

ms, 17-09-2007

Almava · Mensaje por **Almava** » 17 Sep 2007, 14:00

A ver, con respecto a la busqueda de los archivos desapareciedos. Hizo lo que lucl me comento y en configuracion avanzada ->Archivos y carpeta ocultos-> Tengo marcado "Mostrar todos los archivos y carpetas ocultos". Fui a C:\WINDOWS\Java\classes\dajava.cab y conmo no fui capaz de encontrarlo (encuentro una carpeta que dice java, tod en minusculas, pero tampoco encuentro alli el archivo). Tampoco encontre el archivo C:\WINDOWS\Java\classes\xmldso.cab.

Asi que lo intente atraves de Inicio--Buscar--Todos los archivos y carpeta--Todo o parte del nombre de archivo (en discos locales (C:)-- y busque los archivos por dajava.cab uno y el otro por xmldso.cab. Si lo he hecho bien, no se encontro nada en la busqueda.

En la carpeta C:\WINDOWS\java\classes solo encuentro un archivo llamado osp.cer.

Cosa aparte, como lanzo el HJT para la eliminacion de las claves que me dijisteis?

Lo del ELISTARA sigue sin funcionar. Que hago?

Muchas gracias por vuestra ayuda.

Win32/Brontok.CO

Win32/Brontok.CO

Win 32/Brontol.CO

Olvide adjuntar la informacion de la C:infosat.txt