Tras eliminar infección, serie de dudas (CERRADO)

[lifo]

Hola y enhorabuena a tod@s l@s que haceis posible este fantástico foro. Si no es mucha molestia desearía que echasen un vistazo al log de hijackthis ya que fui infectado con el troyano Bifrose y creo haberlo eliminado. Pasé tanto Elitriip y Elistara y no me lo detectaban. Otra de las preguntas que me gustaria hacerles es ¿cómo hacer visible la carpeta de Windows ya que tengo marcada la opción de oculto de color grisáceo y no me permite desmarcarla? ¿es que antes infectarme no recuerdo que me saliese con el atributo de oculto dicha carpeta?. Mi última pregunta es ¿debe existir la carpeta de drivers32 dentro de Windows?. Espero que puedan ayudarme.



Logfile of HijackThis v1.99.1

Scan saved at 14:13:00, on 12/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AVENGINE.EXE

c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

C:\Archivos de programa\rnamfler\naofsvc.exe

C:\Archivos de programa\Cyberlink\Shared files\RichVideo.exe

C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\rnamfler\naomf.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\ApvxdWin.exe

c:\archivos de programa\rnamfler\radprcmp.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\WebProxy.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavBckPT.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\CCleaner\CCleaner.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Documents and Settings\Bronsons\Mis documentos\Herramientas varias\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKLM\..\Run: [wrna3ls] C:\Archivos de programa\rnamfler\naomf.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202772533328

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AEB2EA81-BF64-4632-9453-68820134EC1A}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: RdnaoFlSvc - Unknown owner - C:\Archivos de programa\rnamfler\naofsvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\Cyberlink\Shared files\RichVideo.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe





Saludos y muchas gracias por todo :wink:

[msc hotline sat]

Lo que dices huele a una nueva variante de ONLINE GAMES:



Como que dices que has utilizado el ELISTARA, posteanos el contenido de c:\infosat.txt y veremos el resultado del proceso, y si es de hace días, bajate el de esta tarde, 3l 15.85, en el que estamos añadiendo muchas nuevas variantes de dicho engendro, lo pruebas y nos posteas el infosat



saludos



ms, 12-3-2008

[lifo]

Hola msc!!! En primer lugar, agradecerle su ayuda. Ahí van los logs tanto del Elistara como del Elitriip ambos actualizados a fecha de hoy.





Wed Mar 12 21:40:52 2008

EliStartPage v15.85 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3696

Nº Total de Ficheros: 40951

Nº de Ficheros Analizados: 12280

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0









Wed Mar 12 21:55:19 2008

EliTriIP v4.49 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3696

Nº Total de Ficheros: 40952

Nº de Ficheros Analizados: 10748

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0









Saludos :wink:

[msc hotline sat]

Pues lanza este AV ONLINE y posteanos el resultado:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, o indicando la utilidad a probar para solucionarlo.



saludos



ms, 13-3-2008

[lifo]

Hola nuevamente msc. Le cuento. Me bajé el Antivir Personal Edition y me eliminó un virus llamado BDS/Bifrose.NU localizado en la siguiente ruta C:\ WINDOWS\ system32\ drivers32\ schvost.exe. Además, me borró tb un punto de restauración que estaba infectado tb con la misma amenaza. Mi pregunta es ¿ debe existir la carpeta drivers32? o, por el contrario, ¿ fue creada por la persona que me infectó la máquina y puede eliminarse?. Dentro de dicha carpeta sólo tengo un archivo denominado klog.dat.







Saludos y muchisimas gracias por todo :wink:

[msc hotline sat]

Pues no es lo que le dijimos ...



Si hubiera seguido nuestras indicaciones hubieramos hubieramos pedido muestra para analizar y ver lo que hacia y deshacerlo.



De Bifroses hay muchas variantes, que controlamos con el ELITRIIP, y esta parece que no la conociamos, por lo que nos quedamos sin poder controlarla, y en consecuencia tampoco sabemos lo que le ha podido hacer o dejar de hacer.



Otra vez siga nuestras indicaciones.



Por otro lado, el KLOG.DAT puede ser cualquier cosa y estar en cualquier carpeta:



https://foros.zonavirus.com/search.php?keywords=klog.dat&terms=all&author=&sc=1&sf=all&sk=t&sd=d&sr=posts&st=0&ch=300&t=0&submit=Buscar



y el C:\WINDOWS\system32\drivers32\schvost.exe infectado donde detectó el Bifrose, si hizo una copia antes de eliminarlo, envienoslo para analizar y asi poder obrar en consecuencia



Y dando por terminado el Tema, se procede a cerrarlo.



ms.