Trojan Zlob:No se pudo eliminar (SOLUCIONADO)

[serendipity]

Hola. Os cuento.

Suelo entrar en un par de páginas de juegos; desde ayer, introduzco mi id y mi contraseña y cuando le doy a entrar me saca de internet: Si lo intento 2 o 3 veces seguidas se cuelga todo y se me queda la pantalla llena de ventanas que no puedo cerrar, ni con el administrador de tareas. He analizado y mi antivirus, Norton, ha encontrado un Trojan Zlob que dice no puede eliminar.

¿Me ayudais?

Gracias

[msc hotline sat]

Claro, pues envianos el fichero donde detecta el Zlob y no puede eliminarlo



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras analizarlo, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 17-10-2008

[serendipity]

Bueno, pues resulta que cuando he ido a buscar el fichero infectado para enviaros la muestra, va Norton y me lo elimina. Pero me sigue pasando lo mismo. No puedo entrar en las paginas de juegos. :cry:

[msc hotline sat]

Pues sin la muestra, lo tenemos claro ...



De todas formas, prueba el SPROCES y posteanos el informe resultante:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 17-10-2008

[serendipity]

Voy a intentarlo otra vez.





Fri Oct 17 12:12:20 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SNDSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SPBBC\SPBBCSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ACER\EMPOWERING TECHNOLOGY\EPERFORMANCE\MEMCHECK.EXE

C:\ARCHIVOS DE PROGRAMA\ACER\ACER ARCADE\KERNEL\TV\CLCAPSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ACER\ACER ARCADE\KERNEL\CLML_NTSERVICE\CLMLSERVER.EXE

C:\ARCHIVOS DE PROGRAMA\ACER\ACER ARCADE\KERNEL\CLML_NTSERVICE\CLMLSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPSVC.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\ACER\ACER ARCADE\KERNEL\TV\CLSCHED.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\LIVEUPDATE\ALUSCHEDULERSVC.EXE

C:\ACER\EMPOWERING TECHNOLOGY\EPOWER\EPOWER_DMC.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\ARCHIV~1\LAUNCH~1\LMANAGER.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ERECOVERY\ERAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ACER.EMPOWERING.FRAMEWORK.LAUNCHER.EXE

C:\WINDOWS\SYSTEM32\WBEM\UNSECAPP.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SECURITY CONSOLE\NSCSRVCE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\NMAIN.EXE

C:\ARCHIVOS DE PROGRAMA\HUAWEI TECHNOLOGIES\VODAFONE MOBILE CONNECT MODEM\VODAFONEUSBPP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCLGVIEW.EXE

C:\DOCUMENTS AND SETTINGS\BEATRIZ\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\A4LHYVBE\SPROCES[1].EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,



Luego ya vienen los hosts; eso ya no hace falta, no? Además he intentado abrir el correo de hotmail y me salió una alerta otra vez del mismo virus, y el Norton me daba la posibilidad de reparar. Esto es lo que sale en el visualizador del registro:



Origen: Analizador manual,Categoría de riesgo: Virus,Acción realizada: Reparado,Descripción: Áreas afectadas:

1 Procesos:

C:\Archivos de programa\Internet Explorer\iexplore.exe - Finalizado



1 Claves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\System - Reparado





A ver si ahora hay suerte, que ya van por lo menos 10 veces¡¡

[msc hotline sat]

En la parte posteada (insuficiente en todo caso, pues ni se ven los BHO, los RUN, los ervicios y demas...) no haya indicios de virus, pero ya que dice "Además he intentado abrir el correo de hotmail y me salió una alerta otra vez del mismo virus," señal de que aun tiene el fichero !!!, envienoslo, es con lo que podremos trabajar, pero desactice su antivirus para enviarnoslo , no sea que se lo elimine del envio (arranque en modo seguro, empaquete dicho ficchero muestra en un ZIP o RAR con password virus y anexelo a un mail dirigido a zonavirus@satinfo.es en cuyo ASUNTI indique su nick del foro, o CON EL ANTIVIRUS DESACTIVADO, porceda como se indica en





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 17-10-2008

[serendipity]

Perdon¡¡¡ Es cierto, me olvidé de lo que viene debajo de los hosts.



O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: CNavExtBho Class - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [VodafoneUSBPP.exe] C:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe windows

O4 - HKLM\..\Run: [AzMixerSel] C:\Archivos de programa\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Acer Empowering Technology.lnk

O4 - Global Startup: Adobe Gamma Loader.lnk

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F6A54424-A80A-489B-9568-B964A5F6D017}: NameServer = 212.73.32.3 212.73.32.67

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Archivos de programa\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Archivos de programa\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Dritek General Port I/O (DritekPortIO) - Dritek System Inc. - C:\ARCHIV~1\LAUNCH~1\DPortIO.sys

O23 - Service: eLock2BurnerLockDriver - Unknown owner - C:\WINDOWS\system32\eLock2BurnerLockDriver.sys (file missing)

O23 - Service: eLock2FSCTLDriver - Unknown owner - C:\WINDOWS\system32\eLock2FSCTLDriver.sys (file missing)

O23 - Service: int15 - Unknown owner - C:\WINDOWS\system32\drivers\int15.sys

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: symlcbrd - Symantec Corporation - C:\WINDOWS\system32\drivers\symlcbrd.sys

O23 - Service: tvicport - EnTech Taiwan - C:\WINDOWS\system32\drivers\tvicport.sys

O23 - Service: zntport - Zeal SoftStudio - C:\WINDOWS\system32\drivers\zntport.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Atheros Wireless Network Adapter Service (AR5211) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5211.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Dritek Keyboard Filter Driver (DKbFltr) - Dritek System Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\DKbFltr.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EMSCR - ENE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\EMS7SK.sys

O23 - Service: EraserUtilRebootDrv - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

O23 - Service: ESDCR - ENE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ESD7SK.sys

O23 - Service: ESMCR - ENE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ESM7SK.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWAZL.sys

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DPV.sys

O23 - Service: HSXHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSXHWAZL.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NAVENG - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20081016.004\NAVENG.Sys

O23 - Service: NAVEX15 - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20081016.004\NavEx15.Sys

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Upper Class Filter Driver (NTIDrvr) - NewTech Infosystems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NTIDrvr.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI NIC Family NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys

O23 - Service: SAVRT - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVRT.SYS

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SMSC IrCC Miniport Device Driver (SMCIRDA) - SMSC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: SYMDNS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMDNS.SYS

O23 - Service: SymEvent - Symantec Corporation - C:\Archivos de programa\Symantec\SYMEVENT.SYS

O23 - Service: SYMFW - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMFW.SYS

O23 - Service: SYMIDS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMIDS.SYS

O23 - Service: SYMIDSCO - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SymcData\IDS-DI~1\20081014.001\symidsco.sys

O23 - Service: SYMNDIS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMNDIS.SYS

O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



63 Servicios.

25 de Carga Automatica.

35 de Carga Manual.

3 Deshabilitados.



Bien, si no encontrais nada aqui, podrías decirme que fichero es el que os tengo que enviar??? Mientras me bajaré alguna versión de prueba, porque no tengo ni el zip ni el rar.

Gracias de nuevo

[msc hotline sat]

Pues si bien nos consta que hay driver de ACER con este nombre, el hecho de que en la ruta de la carpeta donde está unicado no hay ninguna de ACER, lo hace sospechoso:



O23 - Service: int15 - Unknown owner - C:\WINDOWS\system32\drivers\int15.sys



Envianos este fichero para analizar pero está claro que el que necesitariamos fijo es el que provoca la alerta del antivirus, como ya hemos indicado.



Este que pedimos es un simple sospechoso, mientras que el otro es culpable fijo :wink:



saludos



ms, 17-10-2008

[serendipity]

Bueno, a ver, el fichero que me indicas como solo sospechoso os lo acabo de enviar.

En cuanto a los otros ficheros, a ver si con esto que te pongo sacas alguna conclusión, porque yo estoy perdida.

Verás: primero analizo y esto es lo que aparece en el registro de actividad del Norton:

[b]Origen: Analizador manual,Categoría de riesgo: Virus,Acción realizada: No se pudo eliminar,Descripción: Áreas afectadas:

1 Archivos:

C:\Documents and Settings\Beatriz\Mis documentos\Carmen\tune up 2007\Keygen.exe - Falló la eliminación



1 Procesos:

C:\Archivos de programa\Internet Explorer\iexplore.exe - Finalizado



1 Claves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\System - No se realizó ninguna acción[/b]



Después, me pongo en contacto con vosotros, y cuando voy a buscar el fichero infectado, al llegar a él me salta la alerta del antivirus y parece ser que lo elimina. Y esto es lo que me sale:

[b]Origen: C:\Documents and Settings\Beatriz\Mis documentos\Carmen\tune up 2007\Keygen.exe,Acción realizada: Eliminado automáticamente[/b]



Y despues de todo esto, cuando voy a abrir el correo de hotmail (luego lo he abierto más veces y no me ha vuelto a salir nada), salta la alerta del antivirus sobre el mismo virus y me da la opción de reparar, y esto es lo que sale en el registro:

[b]Origen: Analizador manual,Categoría de riesgo: Virus,Acción realizada: Reparado,Descripción: Áreas afectadas:

1 Procesos:

C:\Archivos de programa\Internet Explorer\iexplore.exe - Finalizado



1 Claves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\System - Reparado[/b]



Entonces, no sé que otro fichero no sospechoso sino culpable os tengo que enviar :?



Gracias por tener tanta paciencia conmigo¡¡¡ :oops:

[msc hotline sat]

Envianos este que decimos sospechoso y el que te pedía en mi anterior post:


[quote]En la parte posteada (insuficiente en todo caso, pues ni se ven los BHO, los RUN, los ervicios y demas...) no haya indicios de virus, pero ya que dice "[b][i]Además he intentado abrir el correo de hotmail y me salió una alerta otra vez del mismo virus,[/i][/b]" señal de que aun tiene el fichero !!!, envienoslo, es con lo que podremos trabajar, pero desactice su antivirus para enviarnoslo , no sea que se lo elimine del envio (arranque en modo seguro, empaquete dicho ficchero muestra en un ZIP o RAR con password virus y anexelo a un mail dirigido a zonavirus@satinfo.es en cuyo ASUNTO indique su nick del foro, o CON EL ANTIVIRUS DESACTIVADO, porceda como se indica en





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 17-10-2008[/quote]

[serendipity]

Y despues de todo esto, cuando voy a abrir el correo de hotmail [b](luego lo he abierto más veces y no me ha vuelto a salir nada)[/b], salta la alerta del antivirus sobre el mismo virus y me da la opción de reparar, y esto es lo que sale en el registro:

[b]Origen: Analizador manual,Categoría de riesgo: Virus,Acción realizada: Reparado,Descripción: Áreas afectadas:

1 Procesos:

C:\Archivos de programa\Internet Explorer\iexplore.exe - Finalizado



1 Claves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\System - Reparado[/b]



Entonces, no sé que otro fichero no sospechoso sino culpable os tengo que enviar :?



He seguido entrando en el correo de hotmail y la alerta no ha vuelto a saltar, puesto que el antivirus se supone que reparó el archivo infectado, que dicho sea de paso si no sale indicado en lo que os pongo del registro de actividad del antivirus, pues ni idea de cual es ese fichero. Esto en cuanto al fichero "culpable"; en cuanto al fichero sospechoso, si no os ha llegado la muestra, supongo que algo hice mal. lo intentaré de nuevo.

Un saludo

[serendipity]

No he podido enviar la muestra via e-mail; el motivo es el siguiente: al iniciar el equipo en modo a prueba de fallos, todo el escritorio se agranda; yo me conecto a internet por medio de un modem de vodafone, y cuanto intentaba conectarme me salia un mensaje de error:

"Para ejecutar esta aplicación la resolución de la pantalla no debe ser menor de 800x600"

Y por más que lo he intentado no he podido cambiar la resolución. Y sin internet, pues nada de e-mails.

Con la opción que dais aqui arriba, donde pone "envío muestras", os lo he enviado dos veces y me dice que efectivamente ha sido enviado, pero no sé si hay algún problema.

Muy desesperada, me despido hasta mañana.

Un saludo

[msc hotline sat]

A ver, una vez empaquetado el fichero malware, en un ZIP o RAR con password virus, ya puedes arrancar en modo normal y enviarnos dicho fichero empaquetado, bien con el método tradicional o con el automático, pues ya no será detectado si va empaquetado con password.



No sé si se ha recibido. Hoy es sábado y SATINFO está cerrado (aparte de ser la madrugada :wink: ) El lunes cuando volvamos al trabajo, lo veremos



De momento mira de, arrancando en modo seguro, renombrar ambos ficheros, "sospechoso y culpable, a extension .VIR, para que no se pongan en marcha tras reiniciar.



saludos



ms, 18-10-2008

[serendipity]

No sé si no me explico bien...[b]el fichero culpable ya no existe[/b].



Pero visto que sigo teniendo los mismos problemas, o el virus ha cambiado de sitio y sigue en mi pc, o dañó algo o yo que sé¡¡

Volví a analizar y no salió nada.

Un saludo

[lucl]

Pero el sospechoso si lo tienes aun no? Pues como ahora ya lo has enviado espera al lunes al analisis, ten un poco de paciencia que ya casi esta! Saludos

[serendipity]

Si Lucl, tienes razón, debo tener paciencia, pero no es fácil, que os voy a contar¡¡ :wink:

Descargué el SpyHunter y ahora, además de impaciente, estoy aterrorizada, jajaajaa¡¡ 252 infecciones con el Trojan Zlob este por medio¡¡ :shock:

Pero como es una descarga a modo de prueba no me deja eliminarlos :cry:

Un saludo y de nuevo gracias.

[msc hotline sat]

Al menos así podrás enviarnoslos como muestras :wink:



Con ello implementaremos su control y eliminacion en las siguientes versiones y ya harán nuestras utilidades la faena.



saludos



ms, 18-10-2008

[serendipity]

Problema solucionado; solo hacía falta desinstalar y volver a instalar el Java.

Y algo muy importante: el [b]SpyHunter[/b] es un falso antiespia de esos.

Gracias por todo y hasta otra.

Xao¡¡

[msc hotline sat]

Lo del SpyHunter no es necesariamente el caso, aunque un mismo nombre de fichero puede contener cualquier cosa.



Y celebrando que lo hayas solucionado, damos el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 20-10-2008

[msc hotline sat]

Recibida muestra postcierre, no contiene rutinas viricas conocidas: http://www.virustotal.com/analisis/399c1cb02a410683e3a4787bc4f13f36



saludos



ms, 21-10-2009