varios virus...

[Jorge Muñoz]

Hola muchachos.... yo de nuevo con otro pc infectado.... este es el log que me dio el NOD32..... ya le corrí Elistara, Elitrip,

que mas abajo les envío el log que me dio satinfo.txt





Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información general del sistema

25-08-2008 17:00:40 AMON Archivo D:\driver.exe Win32/AutoRun.XB (Gusano de Internet) GENESIS\Luciano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Documents and Settings\Luciano\Escritorio\ELITRIIP.%D8A%D8IB%D8%D8H.EXE.

25-08-2008 17:00:40 AMON Archivo D:\b3b9u.com Win32/PSW.OnLineGames.NMY (Troyano) GENESIS\Luciano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Documents and Settings\Luciano\Escritorio\ELITRIIP.%D8A%D8IB%D8%D8H.EXE.

25-08-2008 17:00:16 AMON Archivo C:\WINDOWS\system32\drivers\klif.sys Win32/PSW.OnLineGames.NVD (Troyano) GENESIS\Luciano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Documents and Settings\Luciano\Escritorio\ELITRIIP.%D8A%D8IB%D8%D8H.EXE.

25-08-2008 16:57:26 AMON Archivo C:\b3b9u.com Win32/PSW.OnLineGames.NMY (Troyano) GENESIS\Luciano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Documents and Settings\Luciano\Escritorio\ELITRIIP.%D8A%D8IB%D8%D8H.EXE.

25-08-2008 16:56:37 AMON Archivo D:\DRIVER.EXE Win32/AutoRun.XB (Gusano de Internet) GENESIS\Luciano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Documents and Settings\Luciano\Escritorio\ELISTARA.%D8A%D8IB%D8%D8H.EXE.

25-08-2008 16:56:37 AMON Archivo D:\B3B9U.COM Win32/PSW.OnLineGames.NMY (Troyano) GENESIS\Luciano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Documents and Settings\Luciano\Escritorio\ELISTARA.%D8A%D8IB%D8%D8H.EXE.

25-08-2008 16:56:01 AMON Archivo C:\WINDOWS\system32\drivers\KLIF.SYS Win32/PSW.OnLineGames.NVD (Troyano) GENESIS\Luciano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Documents and Settings\Luciano\Escritorio\ELISTARA.%D8A%D8IB%D8%D8H.EXE.

25-08-2008 16:52:32 AMON Archivo C:\B3B9U.COM Win32/PSW.OnLineGames.NMY (Troyano) GENESIS\Luciano Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Documents and Settings\Luciano\Escritorio\ELISTARA.%D8A%D8IB%D8%D8H.EXE.



Mon Aug 25 16:51:19 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).



Mon Aug 25 16:51:34 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

open=driver.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Aug 25 16:52:24 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

open=driver.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

C:\WINDOWS\system32\PSKILL.EXE --> Eliminado, RemAdm-PSKill



Nº Total de Directorios: 2815

Nº Total de Ficheros: 26963

Nº de Ficheros Analizados: 8554

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Mon Aug 25 16:56:37 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 100

Nº Total de Ficheros: 2010

Nº de Ficheros Analizados: 211

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Aug 25 16:56:56 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Aug 25 16:57:20 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Mon Aug 25 16:57:26 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2815

Nº Total de Ficheros: 26949

Nº de Ficheros Analizados: 8304

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Aug 25 17:00:40 2008

EliTriIP v5.03 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 100

Nº Total de Ficheros: 2010

Nº de Ficheros Analizados: 216

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Aug 25 17:00:59 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Detectado D:\Autorun.inf

OPEN=DRIVER.EXE

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida

[Claudia34]

Y realiza un windows update para instalarte el service pack 3.





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Y para el tema de los autorun descargate del siguiente enlace el elipen:



http://www.zonavirus.com/descargas/elipen.asp



Saludos.

[msc hotline sat]

Y ya ves que se te pide que nos envies estos dos ficheros para analizar:


[quote]Detectado AUTORUN.INF en la Unidad (D)

open=driver.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF [/quote]

Aparte solo tienes el SP2, lanza un windowsupdate y actualiza a SP3 y posteriores



saludos



ms, 26 de gosto de 2008

[Jorge Muñoz]

aca va el log de ht.



Logfile of HijackThis v1.99.1

Scan saved at 17:36:54, on 27-08-2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\LClock\LClock.exe

C:\Archivos de programa\ViStart\ViStart.exe

C:\Archivos de programa\ViOrb\ViOrb.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Luciano\Escritorio\HijackThis.exe

C:\WINDOWS\system32\Notepad.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Media Codec Update Service] C:\Archivos de programa\Essentials Codec Pack\update.exe -silent

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LClock] C:\Archivos de programa\LClock\LClock.exe

O4 - HKCU\..\Run: [ViStart] C:\Archivos de programa\ViStart\ViStart.exe

O4 - HKCU\..\Run: [ViOrb] C:\Archivos de programa\ViOrb\ViOrb.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Archivos de programa\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[msc hotline sat]

Pues puedes borrar estas dos claves:



O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)





O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y recuerda actualizar parches a SP3 y enviarnos los ficheros pedidos para analizar



saludos



ms, 28 de Agosto de 2008