HOLA!!! PROBLEMAS CON TROJAN (TERMINADO)

ANDREA P · Mensaje por **ANDREA P** » 08 Oct 2008, 20:40

hola gente, primero que nada me presento, soy Andrea tengo 25 años y soy de Argentina. Entre en este foro gracias al bendito google y la razón es que tengo un virus trojan en mi compu. Comienzo por el principio: soy banstante inexperta en el tema de sistemas, mi maquina es un poco antigua pero me funciona correctamente, me gusta mucho aprender sobre el tema y poder solucionar los problemas que se presentan y poder darle el uso adecuado y el cuidado correspondiente al PC. Resulta que hace unas semanas cuando iniciaba la maquina me salia una ventanita que decia que window no habia podido encontrar el archivo csrcs.exe, no le di importancia hasta que no salió más la ventanita, despues de dos días de no aparecer el aviso de windows, me comienzan a aparecer las alertas del NOD32 con lo siguiente:

http: https://foros.zonavirus.com/viewtopic.php?f=1&t=17044

CÓDIGO MALICIOSO: Win32/TrojanProxy.Cimuz.NAO (Troyano)

El asunto es que el antivirus no me lo elimina, cada 30 minutos o más aproximadamente me sale el alerta y pongo "abortar" y nada, vuelve a aparecer. La PC esta muy lenta, lo único que puedo hacer es entrar al Mozilla Firefox, pero no puedo usar msn (conecta y se cierra al minuto), tarda casi media hora en abrir MI PC o EXPLORADOR DE WINDOWS, para copiar archivos al pendrive o a otra carpeta tarda muchisimo, tengo el disco partido y trate de pasar programas del c: al d: pero me resulta casi imposible y aparte me da miedo que se infecte el back up. Me dijeron que formatee el disco C: donde tengo el sistema operativo, pero como no estoy segura de los resultados no me anime a hacerlo. Como dije soy inexperta en el asunto de virus, nunca me había pasado. También me dijeron que los archivos de música y fotos pueden traspasar el virus al d:, pero no se como averiguarlo. Espero que puedan ayudarme con el asunto, la verdad es que no se que hacer y utilizo mucho la computadora para mi trabajo y realmente ahora es imposible de utilizar. Me gustaría saber como puedo solucionarlo si es que tiene solución. Gracias por adelantado y espero alguna respuesta.

saludos

Andrea

Claudia34 · Mensaje por **Claudia34** » 08 Oct 2008, 20:48

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Y para complementar (opcional en algunos casos):

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

Y para el tema de los autorun descargate del siguiente enlace el elipen:

http://www.zonavirus.com/descargas/elipen.asp

Saludos.

ANDREA P · Mensaje por **ANDREA P** » 08 Oct 2008, 22:16

muchas gracias claudia por tu respuesta, estaba por hacerlo cuando me doy cuenta que no puedo abrir la opción de restaurar sistema, resulta que no esta en propiedades de mi pc y por inicio accesorios herramientas del sistema tampoco cuando cliqueo sobre restaurar sistema me aparece este mensaje: "restaurar sistema ha sido desactivado por una directiva de grupo. Para activarlo, póngase en contacto con su administrador de dominio" y me pone el botón de aceptar. ¿qué hago, inicio a modo de prueba la pc y ejecuto igual los programas que me dijiste anteriormente o soluciono ese problema antes? la verdad que no tengo idea que es eso, ustedes seguro saben.

Gracias por adelantado

tengo el windows xp profesional service pack 3 version 2002

Mensaje por **lucl** » 08 Oct 2008, 22:24

Va unida una cosa a la otra, lo primero de todo ejecuta elistara y elitriip y vacuna tu pc con elipen y luego nos pegase el log de infosat.txt que tendras en C, si quieres hazlo ahora y espero a ver que pones, saludos

Mensaje por **flacoroo** » 08 Oct 2008, 22:38

asi es sigue los consejos de Lucl aparte de los programitas bajate tambien el Elirestr y de ahi ejecutas en modo seguro el elistara y elitriip....

Mensaje por **lucl** » 08 Oct 2008, 23:14

Y despues de hacer todo esto de pasar los programas indicados ademas de pegarnos el infosat.txt y decirnos si notas alguna mejoria en el ordenador, ejecutas sprocess en tu pc, te saldra un cuadrito con los procesos le das a salir y vas a C y alli tendras el sproclog.txt que tambien debes pegarnos, yo me voy ya a dormir, mañana te dira algo Msc al respecto saludos

http://www.zonavirus.com/descargas/sproces.asp

ANDREA P · Mensaje por **ANDREA P** » 08 Oct 2008, 23:21

chicos ejecute en modo seguro los tres programas que posteo claudia

esto es lo que dice el infosat.txt

Wed Oct 08 17:43:12 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Wed Oct 08 17:43:58 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Oct 08 17:48:12 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ Protegida

Unidad D:\ Protegida

cuando inicio la maquina nuevamente pongo la opcion de inicio normal y reinicio de nuevo. Cuando inicia me sale otra advertencia de un código nuevo

[img]http://i451.photobucket.com/albums/qq237/p_andre/nuevovirus.jpg[/img]

no puse nada todavia, tengo la ventana abierta hasta que me asesoren

ANDREA P · Mensaje por **ANDREA P** » 09 Oct 2008, 02:14

bueno obviamente cerre la ventana le puse eliminar, despues cuento los cambios, puedo usar la compu normalmente, pero me sigue apareciendo el alerta del win32/trojanproxy.cimuz.NAO y no puedo usar msn, conecta perfectamente pero pasan 2 minutos y se cierra solo, ventana del msn y ventanas de conversación desaparecen hasta el icono de la barra de tareas se esfuma. Que puedo hacer? ya lo repare como primera opción como paso lo mismo, lo desinstale y volvi a instalar y paso exactamente lo mismo.

espero una nueva solución desde ya muchas gracias

saludos

Andrea

Mensaje por **msc hotline sat** » 09 Oct 2008, 06:30

Como que tenias el CiD puede haberte creado Swizzors desconocidos, o tener ademas cualquier otra cosa ...

Descarga el SPROCES y tras probarlo, posteanos el SPROCLOG.TXT resultante:

[quote="msc escribió"]
~~[b]~~SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.

saludos

ms, 9-10-2008

Mensaje por **msc hotline sat** » 09 Oct 2008, 11:05

Pues mientras esperamos el informe del SPROCLOG.TXT, hemos buscado informacion sobre el particular, encontrando esto:

http://www.threatexpert.com/report.aspx?uid=130e5045-ae35-4261-9731-2e2167169a7b

y la IP a la que intenta acceder resulta ser de:

91.194.76.142 LV Latvia 57.0000 25.0000 GARM Technologies GARM Technologies

(Letonia, y en la misma latitud de Riga)

Y un keylogger de allí se presta en pensar mal... (cazapasswords bancarios)

Así que convendría que avisaras al banco y cambiaras numeros de cuenta, si trabajas con datos bancarios en este ordenador y realizas transacciones comerciales..., tu mismo.

Aparte, seguiremos cuando postees el log indicado

saludos

ms, 9-10-2008

Y sobre todo prueba el ELISTARA, como ya te decian al principio, y posteanos el log resultante, pues es la utilidad en la que controlamos este tipo de malwares. ms.

ANDREA P · Mensaje por **ANDREA P** » 10 Oct 2008, 00:42

MUCHAS GRACIAS MSC HOTLINE SAT por resporme, te cento que he estado todo el dia tratando de entrar a internet y no puedo entrar mas desde mi pc, estoy en una prestada, ahora cuando ppueda abrir mi pc mando el log del sproces

gracias

ANDREA P · Mensaje por **ANDREA P** » 10 Oct 2008, 02:48

bueno aca mando el sproclog.txt

Thu Oct 09 11:24:20 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.11) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Shell=c:\windows\explorer.exe

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [Disk Monitor] C:\Archivos de programa\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-8e70fd75eebb21ed.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Machnm32 Driver (Machnm32) - Unknown owner - C:\WINDOWS\system32\Machnm32.sys

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sentinel - Unknown owner - C:\WINDOWS\System32\Drivers\SENTINEL.SYS

O23 - Service: SentinelProtectionServer - SafeNet, Inc - C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Advanced SCSI Programming Interface Driver (ASPI) - Adaptec - C:\WINDOWS\System32\DRIVERS\ASPI32.sys

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Motorola USB Composite Device Driver (motccgp) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motccgp.sys

O23 - Service: MotCcgpFlService (motccgpfl) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motccgpfl.sys

O23 - Service: Motorola Inc. USB Device (MotDev) - Motorola Inc - C:\WINDOWS\SYSTEM32\DRIVERS\motodrv.sys

O23 - Service: Motorola USB CDC ACM Driver (motmodem) - Motorola - C:\WINDOWS\SYSTEM32\DRIVERS\motmodem.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NTSIM - VIA Networking Technologies, Inc. - C:\WINDOWS\system32\ntsim.sys

O23 - Service: PhnxVcd - Phoenix Technologies Ltd. - C:\WINDOWS\SYSTEM32\Drivers\PhnxVcd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: S3Psddr - S3 Graphics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\s3gnbm.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

27 Servicios.

7 de Carga Automatica.

19 de Carga Manual.

1 Deshabilitados.

BUENO Y ACA MANDO LA CAPTURA DE PANTALLA del C: los archivos .exe los subi a todovirus y me detecto que estaban infectados, no los quiero borrar porque no se que puedo llegar a dañar

[img]http://i451.photobucket.com/albums/qq237/p_andre/Dibujo.jpg[/img]

ANDREA P · Mensaje por **ANDREA P** » 10 Oct 2008, 02:52

bueno agrego que no puedo entrar a internet no me abre ni el explorer ni el mozilla, puedo moverme dentro de mi pc pero ni a internet ni el msn puedo entrar nada de nada, espero que puedan ayudarme estor realmente perdida sin mi compu

saludos

Mensaje por **msc hotline sat** » 10 Oct 2008, 04:24

Pues de entrada desconocemos lo que es este fichero que lanza como servicio:

C:\WINDOWS\system32\Machnm32.sys

Si no lo conoce ni es voluntaria su ejecucion, envienoslo para analizar

Aparte, como que esta clave no es propia del lanzamiento del driver de SENTINEL: O23 - Service: Sentinel - Unknown owner - C:\WINDOWS\System32\Drivers\SENTINEL.SYS , envianos tambien este fichero y lo analizaremos:

C:\WINDOWS\System32\Drivers\SENTINEL.SYS

y envienos tambien estos ficheros que dice haber subido a virustotal y le han resultado malwares:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras analizarlos los monitorizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 10-10-2008

ANDREA P · Mensaje por **ANDREA P** » 10 Oct 2008, 19:44

hola! ya mande las muestras, espero que lo haya hecho bien porque tengo un winrar diferente al que salia en el tutorial

saludos

Andrea

Mensaje por **lucl** » 10 Oct 2008, 20:10

No te preocupes eso da igual asi esta bien echo el lunes te diran algo al respecto saludos

Mensaje por **msc hotline sat** » 10 Oct 2008, 21:28

Y si quiere puede adelantar acontecimientos subiendo dichos ficheros al virustotal:

www.virustotal.com/es

y en funcion del resultado ya procederemos...

saludos

ms, 10-10-2008

ANDREA P · Mensaje por **ANDREA P** » 13 Oct 2008, 03:38

hola cuento nuevos problemas

resulta que en mi pc tengo conectado un router cwr-854v wireless-g router porque hay una laptop, hoy día a la laptop le aparecio un virus, mi pregunta es si puede ser que se hayan metido porque teniamos el wireless sin seguridad, despues de ponerle la contraseña para que no nos sacaran conexión aparecieron los dos virus en las dos máquinas, el virus que aparecio en la laptop es el siguiente:

archivo:

http://admin.waverevenue.com/download.php?affid=0001688

código malicioso:

win32/trojanDownloaderAgent.AHUS (troyano)

tendrá algo que ver?? las dos maquinas figuran obviamente con el mismo IP

saludos

Mensaje por **msc hotline sat** » 13 Oct 2008, 05:40

No hay acceso a http://admin.waverevenue.com/download.php?affid=0001688 si era una web donde estaba el malware, ya está capada.

Pero no, los troyanos no se propagan por la red, es la diferencia con algunos virus que sí lo hacen.

Y si el fichero infectado no es ninguno de los que nos envia, proceda a enviarnoslo tambien, para analizar y controlar donde quiera que estuviera.

saludos

ms, 13-10-2008

Mensaje por **msc hotline sat** » 13 Oct 2008, 13:01

De los ficheros enviados, 2 .SYS no presentan rutinas viricas, otros 2 exe están corruptos y el CCUYLCP.EXE , que será de nombre variable en cada ocasion, que modifica claves de registro y crea otras que el autor del malware sabrá para que lo hace ???

Ademas modifica el USER32.DLL tanto de la carpeta de sistema como de la DLLCACHE, y parece que crea una copia con el nombre de C:\windows\system32\NXHFY (sin extension) pero igual tambien cambia de nombre cada vez... asi que la restauracion de dicho fichero se la dejamos de momento al usuario afectado, Vea si es suficiente con lo que restauramos con el ELISTARA de hoy, 17.17 o le hace falta restaurar el indicado USER32.DLL

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

En el caso de que haga falta, copiar el C:\windows\system32\NXHFY en C:\windows\system32\DLLCACHE\USER32.DLL y renombrar el C:\windows\system32\user32.dll a extension .VIR (en este orden, OJO !) , y asi automaticamente windows volverá a poner el USER32.DLL correcto en la carpeta de sistema

[img]http://img85.imageshack.us/img85/3052/barrehorizontale55xx0.gif[/img]

Tras un tiempo para atender tareas laborales urgentes, sigo con este Tema, para el que podrás probar el nuevo ELISTARA.EXE 17.17 y borrar los otros dos EXES que nos enviabas, por ser maliciosos pero corruptos, y no proceder controlar cadenas que pudieran no coincidir con los correctos.

Aparte los dos .SYS dejalos estar, con su extension original, pues no son malwares.

saludos

ms, 13-10-2008

ANDREA P · Mensaje por **ANDREA P** » 14 Oct 2008, 00:10

bueno paso a comentar que pase el elistara actualizado y este es el informe que genero:

Mon Oct 13 15:49:20 2008

EliStartPage v17.17 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PASO.EL --> Eliminado

C:\WINDOWS\SYSTEM32\NVRSOL32.DLL --> Acceso Denegado.

borre los exes que estaban infectados pero no encuentro el fichero c:/windows/system32/NXHFY osea que no lo puedo copiar ni renombrar, habra alguna manera de encontrarlo? por lo que me dijeron cambia de nombre

ANDREA P · Mensaje por **ANDREA P** » 14 Oct 2008, 00:16

bueno paso a comentar que pase el elistara actualizado y este es el informe que genero:

Mon Oct 13 15:49:20 2008

EliStartPage v17.17 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PASO.EL --> Eliminado

C:\WINDOWS\SYSTEM32\NVRSOL32.DLL --> Acceso Denegado.

borre los exes que estaban infectados pero no encuentro el fichero c:/windows/system32/NXHFY osea que no lo puedo copiar ni renombrar, habra alguna manera de encontrarlo? por lo que me dijeron cambia de nombre

Otra cosa, me gustaria saber cual es la diferencia de ejecutar el elistara el modo seguro y ejecutarlo en modo normal? como soy muy novata en esto no se si todo lo que yo haga en modo seguro sirve para cuando inicie en modo normal. Por ejemplo ahora estoy usando la maquina en modo a prueba de errores con funciones de red porque en modo normal no me funciona casi nada, incluso hasta los programas de office se cierran despues de 2 m de iniciados al igual que el msn, no se que hacer me tiene bastante perdida este asunto, todo el mundo me dice que formatee el c: pero no se si es bueno hacerlo o si puede causar daños irreparables.

muchas gracias por la ayuda brindada hasta ahora y ojala pueda solucionar este problemon

saludos

Mensaje por **msc hotline sat** » 14 Oct 2008, 05:22

En modo seguro solo se cargan los ficheros de sistema, y las aplicaciones complementarias, drivers y virus no, por ello se utiliza cuando un virus molesta para ser eliminado, y claro está que lo hecho en modo seguro sirve cuando se arranca normal, pero si persiste algun otro malware no eliminado, entonces en modo normal se cargará, mientras que en modo seguro no.

Pero vemos que el ELISTARA no ha podido con el C:\WINDOWS\SYSTEM32\NVRSOL32.DLL por Acceso Denegado. Mire si tiene este fichero y en tal caso envienoslo. Aparte, mientras, renombre la extension de dicho fichero a .VIR y asi tras reiniciar ya no se cargaría. A lo mejor entonces ya le iría bien en modo normal... Comentenos el resultado, gracias

El formatear no es que sea malo, es que se pierde todo..., especialmente drivers e instalaciones que no basta con haber guardado los datos, sino que se tiene que tener los programas para instalarlos de nuevo. Lo guardamos siempre para ultimo recurso.

Y sobre el fichero c:/windows/system32/NXHFY (copia creada por el malware al modificar el USER32.DLL en el ordenador en que se monitorizó su caso) ya suponiamos que era nombre variable, vaya a saber como le ha llamado en su caso. Mire en la carpeta de sistema si tiene un fichero sin extension con 2 bytes de diferencia en el tamaño con relacion al actual USER32.DLL, e informenos del nombre del mismo, y envienoslo para confirmar que sea su USER32.DLL original.

Independientemente, lance este AV ONLINE y posteenos el informe resultante, a ver que mas tiene:

[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred]~~[b]~~ SOLO TESTEO AV ONLINE[/b][/color][/url]

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

saludos

ms, 14-10-2008

ANDREA P · Mensaje por **ANDREA P** » 14 Oct 2008, 16:24

hola

creo que voy a formatear la maquina, no hay manera de que funcione, probe todo y cada vez esta peor, ya no me abre ningún programa, ni siquiera en modo seguro, todo se cierra despues de minutos de abierto, yo trabajo con un programa que se llama TRADOS que es de traducción y se utiliza con el word y ya me desaparecio la barra de herramientas de trados del word, no hay manera de que funcione. Cada dia que pasa se suma algún programa nuevo roto, se cierran o no abren directamente.

Tengo los cds de los drivers de instalación tengo el cd de windows xp, y aca va mi duda, tengo el xp v7 en cd pero en la maquina tenia el xp pro v 2002 sp3, se pueden guardar todas las actualizaciones que tengo en la compu y despues instalarlas de nuevo?? aparte mi cd de xp no es original. Otra duda quiero formatear el c: que es donde esta windows, al d: no le pasa nada verdad?? sumado a los problemas del virus mi pc es muy muy antigua y lamentablemente por ahora no puedo cambiarla y necesito que me funcione un tiempito mas hasta que pueda comprar otra con mas disco y ram.

espero que puedan aconsejarme

saludos

Mensaje por **lucl** » 14 Oct 2008, 16:42

Bueno un par de cositas la primera que aqui no damos soporte a productos piratas. La segunda las actualizaciones no se guardan ya sea porque formateas o porque reparas, no se guardan y hay que volver a actualizar. Y no tiene que ver un cd con otro o instalas un windows u otro. Mira si tienes alguno original porque no vas a poder actualizar asi como asi, en cualquier caso si ninguno de tus cds son original hasta aqui hemos llegado. Y si formateas C lo haces al C evidentemente, D se mantiene. Saludos

ANDREA P · Mensaje por **ANDREA P** » 14 Oct 2008, 20:07

hola

bueno lamentablemente cuando compre la pc me instalaron un windows trucho porque asi lo hacen aca, es algo normal lamentablemente porque es un delito pero cuando yo compre la compu no tenia idea de nada y no entendia absolutamente nada de lo que me instalaron. En Argentina es muy costoso en windows es por eso que no se hace tan facil comprarlo y la mayoría de las casa de computación lo instalan trucho.

Bueno en definitiva he decidido comprarlo al windows ya que mi amiga que vive conmigo tuvo un problema también con el virus y hemos decidido comprarlo a medias y tenerlo original (asi es mas facil pagarlo). Tengo un cd con drivers que me vino con la compu el tema es saber si necesito algo más, yo hice copias de todos los programas que tengo en la compu pero no se que necesitaría para formatearla e instalar nuevamente todo.

Otra cosa es que pasara con el router y el cable modem? tengo que instalarlos de nuevo, en ese caso voy a tener que investigar como hacerlo porque no los instale yo la primera vez, me lo instalo un tecnico.

buenos espero que puedan aconsejarme y muchas gracias

saludos

Mensaje por **msc hotline sat** » 14 Oct 2008, 21:32

Si no lo ha hecho nunca, ahora que ya sabe bastante, le iría muy bien aprender al lado del tecnico que se lo instaló al principio,aparte de que sabe lo que tiene y lo que le hace falta, pues sino siempre falta algo..., por ello le aconsejo que recurra a él antes de formatear y que le sea de provecho la enseñanza, que seguro que ahora está en condiciones de asimilar (mas que entonces)

y celebramos que instale sistema legal, como debe ser, pues tal como le ha indicado lucl, en este foro no damos soporte a sistemas pirata...

En consecuencia procedemos a cerrar el Tema, quedando a su disposicion para otra vez que nos necesite, ya sabe donde estamos

saludos

ms, 14-10-2008

HOLA!!! PROBLEMAS CON TROJAN (TERMINADO)

HOLA!!! PROBLEMAS CON TROJAN (TERMINADO)

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN

Re: HOLA!!! PROBLEMAS CON TROJAN