No se me abre la unidad C:(SOLUCIONADO)

reddd · Mensaje por **reddd** » 27 Oct 2007, 18:58

Hola!

Tengo un problema con un gusano al parecer. Lo que pasa es que al hacer doble clic en la unidad c:\ no me la abre. Me he bajado el NOD32 y me ha borrado el gusano, que por cierto tambien lo tenia en el lapiz de memoria. MS32DLL.dll.vbs - VBS/Butsur.B (Gusano de Internet)

El problema que tengo ahora es que al hacer dobe click sobre la unidad c:\ me dice que falta el archivo C:\MS32DLL.dll.vbs. ¿Que puedo hacer para acabar con el problema?

Mensaje por **lucl** » 27 Oct 2007, 20:38

Ejecuta hijackhtis y veamos que entradas tienes, saludos

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

Mensaje por **msc hotline sat** » 28 Oct 2007, 07:26

Pues si NOD32 no restauró la clave que sigue llamando a dicho fichero, y solo eliminó el fichero, puede haber dejado de restaurar otras muchas claves que segun VSAntivirus modifica dicho malware, segun extracto:

VSAntiviurs escribió:Nombre: Solow.B
Nombre NOD32: VBS/Solow.B
Tipo: Caballo de Troya
Alias: Solow.B, VBS/Butsur.B, VBS/IE-Title, VBS/IE-Title, VBS/IETitle.B, VBS/Solow-D, VBS/Solow.A, VBS/Solow.B, VBS/Solow-Gen, VBS_SOLOW.A, Worm.VBS.Solow.a, Worm:VBS/Slogod.F
Fecha: 23/ago/07
Actualizado: 19/set/07
Plataforma: Windows 32-bit
Tamaño: 3,950 bytes

Gusano que se propaga por unidades de almacenamiento removibles.

También puede cambiar el título de la ventana del Internet Explorer, y modificar el registro para dificultar su eliminación.

Cuando se ejecuta, puede crear el siguiente archivo:
c:\windows\[al azar].dll.vbs
X:\autorun.inf

Donde "X:" es cualquier unidad extraíble detectada (el gusano examina la presencia de la misma cada 200 segundos).

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

El archivo "autorun.inf" contiene las instrucciones para la ejecución del gusano.

Pueden ser creadas las siguientes entradas en el registro:

HKCU\Software\Microsoft\Internet Explorer\Main
Window Title = [varios *]

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = [página al azar]

HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = "0"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoFind = "1"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoRun = "1"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoFolderOptions = "1"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"

HKLM\HARDWARE\DESCRIPTION\System\CentralProcessor\0
ProcessorNameString = [nombre al azar]

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\cmd.exe
Debugger = "notepad.exe"

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\install.exe
Debugger = "notepad.exe"

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\msconfig.exe
Debugger = "notepad.exe"

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\regedit.exe
Debugger = "notepad.exe"

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\regedt32.exe
Debugger = "notepad.exe"

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options
\RegistryEditor.exe
Debugger = "notepad.exe"

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\setup.exe
Debugger = "notepad.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
RegisteredOrganization = [nombre al azar]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
ProductId = [nombre al azar]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
RegisteredOwner = [nombre al azar]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[al azar] = "c:\windows\[al azar].dll.vbs"

Donde [varios *], podrían ser títulos como los siguientes (entre otros):

Hacked by Godzilla
Hacked by MOOzilla
Hacked by UC
Hacked by YaHaa, Your Firewall Is FUCK.
Hacked by Zay
Malaysian Hackers
Protected by CPCT
TAGA ETI, MARINDUQUE MABUHAY!!! by: Nicklaus S. Buñag
TAGA LIPA ARE!
TAGA XPRESS-ON KAMI

El caso es que de este virus no tenemos muestra para poder implementar el control, eliminacion y restauracion de todas las claves modificadas con nuestras utilidades..., y por lo que parece en cada infecion utiliza distinto nombre, por lo que solo prodremos controlarlo por cadenas, una vez analizado el gusano.

So alguien tiene muestra del fichero portador de dicho virus, que como se ve es detectado por diferentes nombres (como casi siempre) por los diferentes antivirus, que nos envie muestra, para poder proceder en consecuencia

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 28-10-2007

reddd · Mensaje por **reddd** » 28 Oct 2007, 18:19

hijackthis MODO A PRUEBA DE FALLOS

Logfile of HijackThis v1.99.1
Scan saved at 19:27:51, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MyBHO_0.1 - {989D2FEB-5411-4565-8988-1DD2C5263377} - C:\WINDOWS\system32\SysInfo.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [OfcpfwSvcs.exe] C:\WINDOWS\system32\OfcpfwSvcs.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DESKTOP.INI.sat
O4 - Global Startup: DESKTOP.INI.sat
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servicio del iPod (iPod Service) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

hijackthis MODO NORMAL

Logfile of HijackThis v1.99.1
Scan saved at 19:23:17, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\sm56hlpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MyBHO_0.1 - {989D2FEB-5411-4565-8988-1DD2C5263377} - C:\WINDOWS\system32\SysInfo.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [OfcpfwSvcs.exe] C:\WINDOWS\system32\OfcpfwSvcs.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DESKTOP.INI.sat
O4 - Global Startup: DESKTOP.INI.sat
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servicio del iPod (iPod Service) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

El unico autorun.inf que encuentro es en la unidad G:\ que es imaginaria y tengo montada la imagen del pcfutbol 7. Lo que pasa es que no me deja borrarlo, ni dandole a desintalar el juego . Ni el autorun.inf, me pone que los archivos de cd-rom son de solo lectura y no me deja borrarlo.

Mensaje por **lucl** » 28 Oct 2007, 19:40

Sube esto a virustotal y dinos el resultado que arroja

C:\WINDOWS\system32\OfcpfwSvcs.exe

https://www.virustotal.com

ademas envíanos el archivo para su analisis y deteccion en caso de ser virico, viewtopic.php?f=2&t=45334

reddd · Mensaje por **reddd** » 28 Oct 2007, 22:01

Mira le di a buscar y no me lo encuentra. He vuelto a pasar el hajtis y me lo vuelve a poner. Lo tengo que buscar de otra forma?

Mensaje por **lucl** » 28 Oct 2007, 22:14

Buscalo arrancando el pc en modo seguro pero antes de eso haz esto

Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas

ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar

y a ver si asi lo encuentras, saludos

reddd · Mensaje por **reddd** » 28 Oct 2007, 22:27

Confirmado no me lo encuentra ni por activa ni por pasiva

Mensaje por **msc hotline sat** » 29 Oct 2007, 06:29

Pues ya elimina estas claves:
O2 - BHO: MyBHO_0.1 - {989D2FEB-5411-4565-8988-1DD2C5263377} - C:\WINDOWS\system32\SysInfo.dll (file missing)
O4 - HKLM\..\Run: [OfcpfwSvcs.exe] C:\WINDOWS\system32\OfcpfwSvcs.exe

-> Para ello recordar: viewtopic.php?f=2&t=45334

Y tienes AVG y NOD32 instalados, Desinstala uno de los dos, pues de lo contrario pueden haber colisiones y ademas seguro que ralentizan una barbaridad !

y si alguien nos envia el fichero de marras, MS32DLL.dll.vbs, lo analizaremos y podremos controlar sus efectos y restaurar la normalidad, cosa que por lo visto NOD32 no hizo, aunque sí que se cargó el fichero !

Tras hacer lo indicado mas arriba, reinicia y cuentanos el resultado, gracias

saludos

ms, 29-10-2007

Nota: Lo malo es que en lo que se refiere al virus detectado por NOD32, cuyo fichero ya eliminó, se instala con nombre variable segun la descripcion de AVIRA:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[al azar] = "c:\windows\[al azar].dll.vbs"

Y sin una muestra para analizarlo y controlar una cadena de bytes para identificarlo, n o podemos saber el nombre con el que puede haber ingresado...

ms.

reddd · Mensaje por **reddd** » 29 Oct 2007, 12:59

¿Como se eliminan esas claves? En que archivo hay que entrar, para borrarlas

Mensaje por **msc hotline sat** » 29 Oct 2007, 13:43

Sí, con el HJT, lo decimos en:

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 29-10-2007

reddd · Mensaje por **reddd** » 29 Oct 2007, 16:44

Sigo sin poder abrir c:\. Me pone:

RUNDLL
Error al cargar .\SysInfo.dll
No se puede encontrar el módulo especificado

y dandole al boton derecho del raton me sigue poniendo ´ò¿ª(O) en vez de reproduccion automatica.
Hice lo que me dijites y volvi a pasar el programita y me sale esto.

MODO A PRUEBA DE FALLOS
Logfile of HijackThis v1.99.1
Scan saved at 16:37:42, on 29/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DESKTOP.INI.sat
O4 - Global Startup: DESKTOP.INI.sat
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CADopia License Manager - Macrovision Corporation - C:\OrCAD\OrCAD_10.5\INTELL~1\LicenseManager\lmgrd.exe
O23 - Service: Servicio del iPod (iPod Service) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
O23 - Service: Flexlm (lmgrd) - Macrovision Corporation - C:\OrCAD\OrCAD_10.5\IntelliCAD 4\LicenseManager\lmgrd.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

NORMAL
Logfile of HijackThis v1.99.1
Scan saved at 16:39:40, on 29/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\sm56hlpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DESKTOP.INI.sat
O4 - Global Startup: DESKTOP.INI.sat
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CADopia License Manager - Macrovision Corporation - C:\OrCAD\OrCAD_10.5\INTELL~1\LicenseManager\lmgrd.exe
O23 - Service: Servicio del iPod (iPod Service) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
O23 - Service: Flexlm (lmgrd) - Macrovision Corporation - C:\OrCAD\OrCAD_10.5\IntelliCAD 4\LicenseManager\lmgrd.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

evangelion_01 · Mensaje por **evangelion_01** » 29 Oct 2007, 17:25

pues esto es lo que vas a hacer, te vas a descargar estos 2 programas que te indico, y si es que puedes, pasalos en modo seguro, tras reiniciar nos posteas el log que te dejan en C:/ infosat.txt

te dejo los links

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

Mensaje por **msc hotline sat** » 29 Oct 2007, 17:25

Pues la clave que encontraba a faltar dicho fichero ya no está:

O2 - BHO: MyBHO_0.1 - {989D2FEB-5411-4565-8988-1DD2C5263377} - C:\WINDOWS\system32\SysInfo.dll (file missing)

Este SYSINFO.DLL ya es conocido, con las siguientes caracteristicas segun Sophos:

[quote]W32/Delf-EXO es un gusano para plataformas Windows.

Al ejecutarse, W32/Delf-EXO se copia en las ubicaciones siguientes:

<System>\SysInfo.dll.

Una vez instalado, W32/Delf-EXO modifica el archivo autorun.inf y se inyecta en el proceso del sistema para activar la ejecución automática de rundll32.exe. El gusano se propaga con el nombre SysInfo2.dll a cualquiera de los dispositivos de almacenamiento disponibles utilizando el archivo autorun.inf.

El gusano crea una serie de procesos de monitorización y se inserta en procesos de explorer.exe y winlogon.exe.

SysInfo.DLL también se registra como objeto COM, creando entradas en:

HKCR\CLSID\{989D2FEB-5411-4565-8988-1DD2C5263377} [/quote]

Cuidado con los pendrive, aunque quizas iría bien mirar si contienen dicho fichero, y asi poder enviarnoslo para analizar, pero cuando los insertes pulsa simultaneamente la tecla SHIFT (mayusculas) para que no se active el AUTORUN.INF-

Si logras la muestra y nos la envias, implementaremos su control, eliminacion y restauracion de claves que modifica y con ello es posible que solucionemos el problema:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 29-10-2007

reddd · Mensaje por **reddd** » 29 Oct 2007, 18:42

Wed Oct 24 22:33:16 2007

EliStartPage v14.90 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v14.90

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Wed Oct 24 22:35:09 2007

EliStartPage v14.90 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Oct 24 22:35:19 2007

EliTriIP v4.03 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Oct 24 22:35:20 2007

EliTriIP v4.03 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Softwin\BitDefender8\Quarantine\OfcpfwSvcs.exe --> Eliminado, BackDoor.CKB

C:\Archivos de programa\Softwin\BitDefender8\Quarantine\Rav.vir.exe --> Eliminado, RJump

C:\Archivos de programa\Softwin\BitDefender8\Quarantine\temp1.exe --> Eliminado, Perlovga

Nº Total de Directorios: 4653

Nº Total de Ficheros: 43139

Nº de Ficheros Analizados: 10594

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Nº Total de Directorios: 4653

Nº Total de Ficheros: 43136

Nº de Ficheros Analizados: 12351

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Wed Oct 24 23:17:48 2007

EliStartPage v14.90 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Wed Oct 24 23:22:16 2007

EliStartPage v14.90 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4661

Nº Total de Ficheros: 43186

Nº de Ficheros Analizados: 12378

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Oct 25 11:08:03 2007

EliStartPage v14.90 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Oct 27 17:01:41 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sat Oct 27 17:01:42 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Oct 27 17:01:54 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Oct 27 17:02:03 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Oct 27 17:02:11 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Oct 27 17:02:19 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Nº Total de Directorios: 3602

Nº Total de Ficheros: 33411

Nº de Ficheros Analizados: 8165

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Nº Total de Directorios: 3602

Nº Total de Ficheros: 33717

Nº de Ficheros Analizados: 6835

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Mon Oct 29 18:03:22 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 18:04:33 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Oct 29 18:04:44 2007

EliTriIP v4.05 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Oct 29 18:04:46 2007

EliTriIP v4.05 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6020

Nº Total de Ficheros: 60522

Nº de Ficheros Analizados: 13032

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Nº Total de Directorios: 6020

Nº Total de Ficheros: 60522

Nº de Ficheros Analizados: 15310

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Oct 29 18:17:09 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 18:22:31 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

No encuentro el autorun.inf por ningun lado. He adjuntado en un correo el rundll.exe como me pedia el eliastar.

Que pasa si marco todas las casillas de la izquierda del HJT y las elimino? Pasaria algo, o es lo que tengo que hacer??

Mensaje por **msc hotline sat** » 29 Oct 2007, 18:53

Se le piden estas muestras:

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v14.90

Y que si no conoce estos ficheros, nos los envie tambien para analizar:

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Tanto el AUTORUN.INF como la DLL que lanza

Si no encuentra dichos ficheros, busquelos con un Inicio -> Buscar -> Todos los ficheros y carpetas, pues asi los encontrará aunque estén ocultos o sean de sistema.

Por otro lado se han eliminado unos cuantos ficheros que Bit Defebder ya habia colocado en la carpeta de cuarentena:

EliTriIP v4.03 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Softwin\BitDefender8\Quarantine\OfcpfwSvcs.exe --> Eliminado, BackDoor.CKB

C:\Archivos de programa\Softwin\BitDefender8\Quarantine\Rav.vir.exe --> Eliminado, RJump

C:\Archivos de programa\Softwin\BitDefender8\Quarantine\temp1.exe --> Eliminado, Perlovga

Ahora a ver si nos envia estos ficheros que le pedimos desde el principio y ademas este que el INFOSAT.TXT pide ahora:

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v14.90

recuerde:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 29-10-2007

evangelion_01 · Mensaje por **evangelion_01** » 29 Oct 2007, 19:12

a tu pregunta del hijack te digo no!! si le pones fix checked a todo te eliminara todo lo malo pero tambien todo lo bueno, por lo que le daras en la mother a tu pc

Mensaje por **msc hotline sat** » 29 Oct 2007, 19:28

No habia visto lo que decias al respecto !!!

[quote]Que pasa si marco todas las casillas de la izquierda del HJT y las elimino? Pasaria algo, o es lo que tengo que hacer??[/quote]

Dios te guarde de hacerlo !!! Como muy bien indica evangelion si marcas todas las casillas y le das a FIX CHECKED te quedas sin las claves de arranque y de proceso básico ! Cuidado con tocar lo que no se sabe y dale un vistazo a esto:

https://foros.zonavirus.com/viewtopic.php?f=13&t=11007

Ya intentamos evitar el manejo del REGEDIT para evitar percances con usuarios no expertos, y el HJT es muy simple, pero claro, bien manejado... Solo postearlo y proceder como indiquemos, salvo personal entendido en la materia.

saludos

ms, 29-10-2007

Mensaje por **flacoroo** » 29 Oct 2007, 19:33

abre el explorador de windows y en herramientas en opciones de carpetas habilita la opcion ver archivos ocultos y asi veras los archivos que deseas buscar

reddd · Mensaje por **reddd** » 29 Oct 2007, 20:49

Ya mande la muestra del archivo svchost.exe. Pero el autorun.inf no me aparece ni de coña. estoi hasta los... de buscarlo y nunca me sale nada.

Mensaje por **msc hotline sat** » 29 Oct 2007, 20:57

Pues mañana, cuando entremos a trabajar en SATINFO, analizaremos la muestra e informaremos

Y lo del otro fichero, igual lo borró algun antivirus si ya no lo tienes, asi que si no molesta mas, nos dedicaremos a este que nos has enviado

saludos

ms, 29-10-2007

reddd · Mensaje por **reddd** » 29 Oct 2007, 22:06

GRACIAS

Mensaje por **msc hotline sat** » 30 Oct 2007, 10:45

Recibidos los dos ficheros enviados, resultan ser los originales de sistema, que no sé porué causa lo tenía Vd en la carpeta C:\windows en lugar de lo normal que es en C:\windows\system32:

[quote]
EliStartPage v14.90 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v14.90

a "virus@satinfo.es". Gracias.

~~[b]~~[i]C:\WINDOWS\SVCHOST.EXE [/i][/b]--> Eliminado [/quote]

Por ello el ELISTARA alertó y pidió muestras de ello, por no estar debidamente ubicado y pensar que posiblemente era malware, como aclaramos en:

[quote]EXPLICACION SOBRE SVCHOST MALWARE

El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP

Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.

Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...

En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.

Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario

Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares. [/quote]

En cualquier caso convenía elimimarlo al ser incorrecta su ubicacion, y asi se ha hecho.

saludos

ms, 30-10-2007

Mensaje por **msc hotline sat** » 30 Oct 2007, 10:59

Revisando su Tema, vemos que en infosat.txt se dice:

Detectado AUTORUN.INF en la Unidad (C)

open=RunDll32.exe .\SysInfo2.Dll,MyFun

Vamos a ver si encuentras este fichero SYSINFO2.DLL y nos lo envias para analizar

Para ello buscalo con Inicio -> Buscar -> Todos los ficheros y Carpetas

y nos lo envias :

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 30-10-2007

reddd · Mensaje por **reddd** » 30 Oct 2007, 11:30

Hola!

Resulata que no encuentro ni el autorun.inf, ni el sysinfo2.dll.

Voy a darlo por imposible. Gracias por la ayuda.

Mensaje por **msc hotline sat** » 30 Oct 2007, 11:32

Mira con Inicio -> Buscar -> en todos los ficheros y carpetas, y por cierto, mira en los pendrives, no sea que tengas alli una copia, aunque el que nos ocupa lo detectamos explorando C:

saludos

ms, 30-10-2007

reddd · Mensaje por **reddd** » 03 Dic 2007, 13:27

Ya encontre el autorun.inf, le pase el antivirus y no me dice que sea un virus lo abri y esto es lo que pone:

[autorun]

open=RunDll32.exe .\SysInfo2.Dll,MyFun

shell\1=´ò¿ª(&O)

shell\1\Command=RunDll32.exe .\SysInfo2.Dll,MyFun

shellexecute=RunDll32.exe .\SysInfo2.Dll,MyFun

Lo encontre buscando en el lapiz de memoria, pero solo lo puedo abrir si lo copio en el ordenata. Porque cuando lo encuentra me a aparece en "Dispositivos de medios portatiles\TANGO USB (ESmile".

Pero al buscarlo en el USB solo no me encuentra nada. Que puedo hacer para borrarlo?

Mensaje por **msc hotline sat** » 03 Dic 2007, 14:19

Envianos dicho fichero SysInfo2.Dll para analizar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 3-12-2007

Mensaje por **msc hotline sat** » 03 Dic 2007, 14:55

Aparte del fichero pedido, envianos con él el AUTORUN.INF correspondiente y de nuevo el primer fichero que enviabas MS32DLL.DLL.DLL.VBS que ha llegado a 0 bytes.

saludos

ms, 3-12-2007

Mensaje por **msc hotline sat** » 03 Dic 2007, 17:56

Ahora ha llegado bien, e implementamos su control y eliminacion en el ELISTARA

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 3-12-2007