ME PROVOCA ERRORES EN LA LECTURA DE MEMORIA

[DruSDeuS]

ME PROVOCA UN ERROR EN LA MEMORIA:



Logfile of HijackThis v1.99.1

Scan saved at 10:25:39, on 03/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Spyware Doctor\svcntaux.exe

C:\Archivos de programa\Spyware Doctor\swdsvc.exe

C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

c:\docume~1\drusdeus\datosd~1\bitsco~1\Mp3 glue bolt.exe

C:\DOCUME~1\ALLUSE~1\DATOSD~1\ABOUTT~1\KNOBPI~1.EXE

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\DOCUME~1\DrusDeus\CONFIG~1\Temp\Rar$EX00.813\HijackThis.exe



O4 - HKLM\..\Run: [SDTray] "C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ThirdAnte] C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe







YO CREO KE ESTOS 2 ARCHIVOS SON EL PROBLEMA



c:\docume~1\drusdeus\datosd~1\bitsco~1\Mp3 glue bolt.exe

C:\DOCUME~1\ALLUSE~1\DATOSD~1\ABOUTT~1\KNOBPI~1.EXE



YA INTENTE KITARLOS MANUALMENTE, CON JIHACKTHIS, AVG, ANTISPYWARE Y NO SE BORRAN, HAY ALGO QUE PUEDA HACER??



GRACIAS

[DruSDeuS]

TAMBIEN INTENTE CON ELISTARA Y ELIITRIP Y NADA, OTRA COSA, POR QUE ME ABRE 2 VECES IEXPLORER.EXE?? SI NISIKIERA LO UTILIZO...

[msc hotline sat]

Envianos estos ficheros sospechosos para analizar:



c:\docume~1\drusdeus\datosd~1\bitsco~1\Mp3 glue bolt.exe



C:\DOCUME~1\ALLUSE~1\DATOSD~1\ABOUTT~1\KNOBPI~1.EXE



C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Pero vemos anormal este log de HJT. Faltan cantidad de claves necesarias, por lo que parece que haya sido toqueteado erroneamente. En tal caso restauralas con un UNFIX:







y recordar que las claves de registro son muy delicadas y que no deben modificarse sin pleno conocimiento de causa !!!



saludos



ms, 3-1-2008

[DruSDeuS]

ya envie las pruebas, ahora de donde bajo el UNFIX??

y por que me abre la maquina 2 veces el IE si nisikiera lo utilizo..

[msc hotline sat]

No hace falta ejecutar el navegador para que este se abra. Tienes claves que ejecutan ficheros en el inicio, y con que estos abran el IEXPLORE.EXE es suficiente.



Y el UNFIX es una opcion del HJT. Mira las instrucciones que hay al respecto en el link que hemos indicado.



saludos



ms, 3-1-2008





NOTA: Mira por ejemplo esta:



O4 - HKCU\..\Run: [ThirdAnte] C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe



es un RUN que se ejecuta en el inicio cuando se arranca en modo normal (no en modo seguro) y lanza este support poke.exe, con lo que tenga previsto hacer, si quiere descargar algo por ejmplo, lo primero que hará es abrir el navegador para ello. Pero esto lo veremos con el analisis del fichero, cuando lo recibamos. ms.

[DruSDeuS]

ok al parecer creo ke borre esa entrada, no tengo el backup ya que ejecuto jihack desde el archivo "RAR"... T_T

ahora que hago?

[msc hotline sat]

Pues aprender de tus errores.



No debes tocar el registro sin conocimiento de causa.



O te atreves a poner una valvula de bypass al corazon de un amigo ??? , pues el registro de sistema para un ordenador es lo mismo, mas o menos lo has dejado en coma...



Ya decimos que no se use el REGEDIT por ello, y en nuestras utilidades implementamos las modificaciones que se han de hacer en el registro segun las circunstancias, y con el HJT solo deben m odificarse las claves que te indique un experto, y aun asi con la proteccion del backup de seguridad...



Que te sirva de experiencia.



Ahora ya hemos cerrado y acabo de subir las utilidades de hoy para su evaluacion, y mañana analizaremos las muestras que van llegando, confio que tambien las tuyas, si bien hoy no han podido hacerse todas las que han llegado por acumulacion de trabajo, dichosas fiestas y puentes... pero es que los virus no hacen puente ni celebran las fiestas!!!



En cuanto se analicen informaremos



saludos



ms, 3-1-2008

[DruSDeuS]

[quote="msc hotline sat"]
Ya decimos que no se use el REGEDIT por ello, y en nuestras utilidades implementamos las modificaciones que se han de hacer en el registro segun las circunstancias, y con el HJT solo deben m odificarse las claves que te indique un experto, y aun asi con la proteccion del backup de seguridad...



Que te sirva de experiencia.[/quote]

entonces tengo que formatear para restaurar dichas entradas? o pasas scandisk o algun otro programa?

[msc hotline sat]

Las claves de registro no se reparan con un scandisk ni con ningun programa mas que si se ha hecho una exportacion del registro o con el RESTORE del XP si se ha ido actualizando.



Bueno, a ver si tienes suerte y tienes acceso a algun punto de restauracion anterior, proximo a estos percances.



Prueba el ELRSTRUI.EXE para facilitar el acceso a la aplicacion de microsoft, y mira si en el calendario tienes alguna fecha en cuestion





ELRSTRUI

http://www.zonavirus.com/datos/descargas/258/elrstruiexe.asp



Tras ello lanza un windowsupdate para actualizar los parches.



saludos



ms, 3-1-2008

[DruSDeuS]

ms si llegaron los virus que mande a examinar??

sigo teniendo el mismo problema, he deshecho algunos con cuidado pero hay uno que es de registro, el ke me has señalado y no lo he borrado... dime ke hago

[msc hotline sat]

Eso que dice de:

[b][i]

he deshecho algunos con cuidado pero hay uno que es de registro, [/i][/b]



... la inmensa mayoría de los virus actuales modifican el registro, pues son aplicaciones que se instalan, cuidado con eliminar solo el fichero, eso se hacía con los antiguos virus de DOS , que solo se copiaban, pero con los actuales de windows se deben desinstalar, no basta con borrar ficheros...



Y no me dieron ningun resultado con su referencia "DruSDeuS" , lo envió como se indica ???



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Por si acaso vuelvalo a enviar y el lunes cuando nos reincorporemos al trabajo en SATINFO, se analizará.



saludos



ms, 5-1-2008

[DruSDeuS]

he mandado de nuevo las pruebas.... pero no se si lleguen a travez de hotmail, o cualquier otro host de cual pueda mandarlo... eske no se utilizar el Outlook, me marca error con la conexion a hotmail al querer enviar la prueba.



Salu2

[msc hotline sat]

Envielo por donde quiera, pero empaquetado con un ZIP o RAR com password VIRUS :



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ms.

[msc hotline sat]

Recibidas las muestras enviadas, resultan ser variantes del SWIZZOR que pasamos a controlarlas con la version de hoy del ELISTARA 15.41



A partir de las 19 h estara disponible en esta web para pruebas de evaluacion


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 10-1-2008

[DruSDeuS]

Logfile of HijackThis v1.99.1

Scan saved at 12:32:16, on 11/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Archivos de programa\Spyware Doctor\svcntaux.exe

C:\Archivos de programa\Spyware Doctor\swdsvc.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Softnyx\Rakion\Bin\GameGuard.des

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\DrusDeus\Mis documentos\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [SDTray] "C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe"

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ThirdAnte] C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe

O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe





he mandado de nuevo mi log, lo extraño es ke eliistara elimino los virus que tenia pero que me dice de esta entrada:



O4 - HKCU\..\Run: [ThirdAnte] C:\DOCUME~1\DrusDeus\DATOSD~1\BITSCO~1\support poke.exe



que le hago?? la elimino?

[msc hotline sat]

Probablemente es otra variante de SWIZZOR no controlada. Envienos muestra para analizar antes de borrar la clave, y ya le diremos lo que es, no sea caso que no sea malware, y recuerde que le pedimos que probara el ELISTARA y nos posteara el contenido de C:\infosat.txt !!!



saludos



ms, 11-01-2008