Lentitud en el inicio, virus .sys

[turcos]

Hola, antes que nada me acerco a ustedes porque estoy desesperado al no poder eliminar virus que tengo en una PC...

Brevemente les comento que segui todos los pasos para una limpieza y no me dio resultado, el antivirus me sigue detectando virus que se encuentran en la memoria...normalmente me encuentra virus con extencion .sys y tambien algunos .dll, siempre va cambiando el nombre de lo que me encuentra infectado, pero sospecho que es el mismo virus que causa ese efecto...

Aca les dejo el log y espero me puedan ayudar...gracias desde luego



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:57:55, on 14/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\lsas.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Escuelita2\Escritorio\Avast\vpsupd.exe

C:\DOCUME~1\ESCUEL~1\CONFIG~1\Temp\_av_sfx.tm~a03668\avast.setup

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Alwil Software\Avast4\setup\avast.setup

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clarin.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\lsas.exe

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [advap32] c:\prnuesom.exe/r

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Policies\Explorer\Run: [lsas] C:\WINDOWS\lsas.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O20 - Winlogon Notify: winctrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe



--

End of file - 4980 bytes

[lucl]

Lo primero de todo pasa este antitrojano que te indico y peganos el log que te dejara en C infosat.txt



saludos



http://www.zonavirus.com/descargas/elitriip.asp

[msc hotline sat]

Y de entrada decirte que vemos este sospechoso:



C:\WINDOWS\lsas.exe



si no lo detectara la utilidad indicada por lucl, envianoslo para analizar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y ya puedes luego renombrar su extension a .VIR para que no se ponga en marcha a partir del siguiente reincio



Y elimina estas claves:





R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com



O4 - HKLM\..\Policies\Explorer\Run: [lsas] C:\WINDOWS\lsas.exe





y envianos estos otros dos fiocheros para analizar, que sin saber a ciencia cierta lo que son, nos lo tememos:



c:\prnuesom.exe



C:\WINDOWS\SYSTEM32\WinCtrl32.dll





Por si acaso, DADO ESTE ÚLTIMO, prueba tambien el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



SALUDOS



MS, 16-07-2008

[turcos]

En unas horas voy a tener acceso nuevamente a la PC en cuestión y realizo estos procedimientos, tal cual me lo plantean ustedes...y les estaré comentando los resultados y enviando las muestras correspondientes...

[msc hotline sat]

Muy bien, pues hasta entonces !



saludos



ms, 16-07-2008

[turcos]

Muchachos...aca les dejo el reporte de elistara y elitrip

Les comento que las utilidades se cerraron solas al finalizar el proceso...en breve les estoy mandando las muestras solicitada

Gracias



Fri Jul 18 09:57:18 2008

EliStartPage v16.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "advap32"="c:\prnuesom.exe/r"



Fri Jul 18 09:59:42 2008

EliTriIP v4.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE



Fri Jul 18 10:00:12 2008

EliTriIP v4.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Eliminados Ficheros Temporales del IE



Fri Jul 18 10:09:40 2008

EliStartPage v16.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Pues mientras vaya instalando el SP3...



Para ello abra el I.E., vaya a Herramientas y lance un windowsupdate.



saludos



ms, 18-07-2008

[turcos]

Ahi les dejé la muestra del unico archivo que encontré...(Isas.exe), los otros no están ya en la PC, tampoco estan como ocultos...Gracias nuevamente y espero respuestas...

[lucl]

A partir del lunes estate atento al post que te diran algo sobre el envio, saludos

[turcos]

Muchas gracias nuevamente...por lo pronto les comento que con renombrar el archivo Isas.exe por Isas.VIOR y ademas con la limpieza de entradas del Hijackthis, luego de reiniciar el antivirus no tiró mas carteles de aviso de Virus, asi que sospecho que finalmente era ese el archivo infectado...esperaré entonces la respuesta...gracias

Cristian

[msc hotline sat]

Efectivamente estamos en el buen camino :wink: , pero por favor, vuelva a renombrar la extension del fichero lsas, en lugar de .VIOR (que el "gato de la imprenta" hizo apareciera), cambiela por .VIR, lo cual cambié de mi post en cuanto me di cuenta, pero por lo visto ya lo había leido :? .



Y aunque hasta este momento haya sido igual, no sería lo mismo el lunes, cuando le ofrezcamos probar la utilidad para su definitiva eliminacion, ya que los ficheros con extension .VIR los examinan nuestras utilidades, no asi los que tuvieran extension .VIOR, por no estar dicha extension dentro de las que "gastamos" tiempo en explorar.



Seguiremos el lunes, tras analizar la muestra indicada.



saludos



ms, 19-07-2008

[turcos]

Ok , no hay problema, ahora lo hago y quedo a la espera hasta el lunes...Muchas Gracias

[msc hotline sat]

Aunque no has puesto tu nick (turcos) en el ASUNTO del mail, como se pide, gracias a que el nombre de la muestra es singular, lsas.exe, me lo han comentado los de procesos y he recordado habertelo pedido, y buscando en el foro te he encontrado! Ortra vez envia bien la muestra...



Analizado vemos que corresponde a un gusano que AVG detecta como



AVG 8.0.0.130 2008.07.20 Worm/Autoit.BQG



por lo que le vamos a llamar así, AUTOIT.BQG , y pasamos a controlarlo con el ELISTARA de hoy 16.75


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

Lo descargas esta tarde y tras probarlo nos informas del resultado, gracias:



saludos



ms, 21-07-2008

[turcos]

Mil disculpas por el envio de la muestra...la verdad pense que tenia que poner el título del post...para otra ya se como hacerlo...esta noche entonces descargo el programa nuevamente, lo corro y posteo los resultados...Muchas gracias nuevamente...

[msc hotline sat]

Ya lo hemos subido a esta web, pruebalo cuando quieras y nos informas del resultado, gracias



saludos



ms, 21-07-2008

[turcos]

Hola nuevamente, aca les dejo el log despuesd el analisis...el problema ha sido resuelto...muchas gracias por todo nuevamente



Fri Jul 18 09:57:18 2008

EliStartPage v16.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "advap32"="c:\prnuesom.exe/r"



Fri Jul 18 09:59:42 2008

EliTriIP v4.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE



Fri Jul 18 10:00:12 2008

EliTriIP v4.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Eliminados Ficheros Temporales del IE



Fri Jul 18 10:09:40 2008

EliStartPage v16.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 22 11:34:30 2008

EliStartPage v16.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 22 11:36:01 2008

EliStartPage v16.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\LSAS.VIR --> Eliminado, Autoit.BQG

C:\WINDOWS\system32\SMS.EXE --> Eliminado, Autoit.BQG

C:\WINDOWS\system32\SNS.EXE --> Eliminado, Autoit.BQG



Nº Total de Directorios: 2295

Nº Total de Ficheros: 23966

Nº de Ficheros Analizados: 10229

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[msc hotline sat]

Pues ya ves que este lsas no estaba solo...


[quote]Tue Jul 22 11:36:01 2008

EliStartPage v16.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\LSAS.VIR --> Eliminado, Autoit.BQG

C:\WINDOWS\system32\SMS.EXE --> Eliminado, Autoit.BQG

C:\WINDOWS\system32\SNS.EXE --> Eliminado, Autoit.BQG[/quote]

Pero tanto este sms.exe como el sns.exe, sus primos hermanos, han sido tambien detectados y eliminados.



Y con ello damos por solucinado el Tema y procedemos a cerrarlo



saludos



ms, 22-07-2008