Archivos Ocultos en mi USB (SOLUCIONADO)

[Patrilda1]

Hola amigos. Se que posiblemente esto es algo que anteriormente han resuelto pero por ahora no consigo encontrar el link.

Por alguna razon que desconozco los folders de mi USB estan ocultos. He corrido el Elistara y no me arroja ningun virus. Ya he verificado en Herramientas-Opciones de Carpeta-Ver... y esta ajustado para que me los muestre. Tambien he verificado a traves del Regedit HKLM hasta llegar al SHOWALL y sigue igual.

Esto mismo me pasa con los Archivos de Programa de mi disco duro.

Tengo afortunadamente un Backup de todo, pero por lo pronto si es desesperante trabajar en este modo.



Podrian por favor indicarme el link en donde se ofrezca una opcion alternativa para solucionar esto?

Esto ademas significa que tengo un virus que el EListara no me esta detectando?

Es necesario que corra el Elibagle y el Elipen adicionalmente al Elistara???



Por su ayuda, GRACIAS



Patrilda

[msc hotline sat]

De entrdaa le recordamos que el ELISTARA ES UNA UTILIDAD COMPLEMENTARIA A LOS ANTIVIRUS PARA CONTROLAR LOS NUEVOS TROYANOS QUE VAN APARECIENDO, PERO QUE NO CONTROLA NI MUCHO MENOS TODOS LOS MALWARES, solo los que hemos recibido muestra para analizar...



Y tenemos unas 300 utilidades ... el ELISTARA, ELITRIIP, ELIBAGLA, ELIPEN son las mas conocidas y usadas por inplementar en ellas, respectivamente, el control de troyanos, gusanos, rootkits del bagle y AUTORUN.INF para controlar los virus que se propagan por pendrive



Y que las carpetas de su USB, como la de cualquier unidad, se puedan ocultar, es lo normal de windows, y el que algunos virus y troyanos lo aprovechen, pues claro, pero no hace falta que los haya para que estén asi...



De todas formas nuestras utilidades ven los ocultos, y llegan a carpetas ocultas y aun mas, a las que por la class que integran, no son accesibles normalmente desde windows, y con una nueva utilidad que hemos hecho, ELIMOVER.EXE, podemos acceder a dichos ficheros , copiarlos a la carpeta C:\muestras para su envio, y renombrar los originales a extension .VIR si ello se desea (y se marca la casilla, claro :wink: )



Lo que dice que no encuentra las Opciones de Carpeta es habitual en muchos nuevos malwares tipo TROJAN AGENT ABUE, entre otros y ya LO RESTAURAMOS EON EL elistara ACTUAL, PERO CLARO, SI EXISTE UN TROYANO ACTIVO que no conocemos, acto seguido volverá a modificar dichas claves de registro...



Vamos a ver si encontramos algiun sospechoso que pueda ser el culpable. Pruebe el SPROCES y nos postea el log resultante:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 2-12-2008







NOTA: Y nada de tocar el Registro de sistema !!! Puede ser peor del remedio que la enfermedad,... ms.

[Patrilda1]

Gracias...

Esto es lo que me arroja:



Tue Dec 02 22:30:05 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGUPSVC.EXE

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO 7\INCD\INCDSRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_08\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\VTTIMER.EXE

C:\WINDOWS\SYSTEM32\VTTRAYP.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO 7\INCD\NBHGUI.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO 7\INCD\INCD.EXE

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\USNSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE TOOLBAR\MSN_SL.EXE

C:\DOCUMENTS AND SETTINGS\PATRICIA\ESCRITORIO\ZONAVIRUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.mx

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SecurDisc] C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [Win2x] C:\WINDOWS\system32\Win2x.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_08) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: AVG Network Redirector (AvgTdi) - GRISOFT, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdi.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Win2x - Unknown owner - C:\WINDOWS\system32\save.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: VIA Rhine-Family Fast Ethernet Adapter Driver Service (FETND5BV) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5bv.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: GbHwLib - Unknown owner - C:\WINDOWS\system32\DRIVERS\GbHwLib.SYS (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys (file missing)

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys (file missing)

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics Co, Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: InCD File System (InCDfs) - Nero AG - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys



23 Servicios.

8 de Carga Automatica.

13 de Carga Manual.

2 Deshabilitados.



:shock: Y sigo al pendiente de su respuesta :)

[msc hotline sat]

Pues empecemos por la falta de parches:



No tienes instalado ni el SP3, por lo que debes lanzar un windowsupdate y actualizar parches, instalando el SP3 y posteriores, como el tan importante MS08-067





Luego vemos lanzas este fichero sospechoso:



C:\WINDOWS\system32\Win2x.exe



renombra su extension a .VIR para que no se cargue en el proximo reinicio y envianoslo para analizar...



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y estos servicios son atipicos:



O23 - Service: Win2x - Unknown owner - C:\WINDOWS\system32\save.exe (file missing)



O23 - Service: GbHwLib - Unknown owner - C:\WINDOWS\system32\DRIVERS\GbHwLib.SYS (file missing)



O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys (file missing)



Si no los conoces, con el ELISERV eliminalos, indivando respectivamente sus servicios tras lanzar dicha utilidad:





Win2x



GbHwLib



PCCS Mode Change Filter Driver





ELISERV:

http://www.zonavirus.com/datos/descargas/273/eliservexe.asp





y tras ello reinicias y nos cuentas el resultado



saludos



ms, 3-12-2008

[Patrilda1]

Bueno, he intentado encontrar el archivo .exe que me indican para renombrarlo y enviarselos sin ninguna suerte. Como no soy tan experta en esto, lo hago por medio de la herramienta de BUSCAR y nada. Tambien me paso a las carpetas de WINDOWS y da lo mismo. :oops:



Si descargue y corri el eliserv y elimine dos de los archivos mencionados (el primero no me lo menciono)



Y lo de la actualizacion no pude hacerla. Mi PC la compre hace año y medio y venia todo instalado. No me dieron CDs de instalacion y ahora al preguntarles (como ellos son los que le han estado "dando el mantenimiento") me dicen que tengo que pagar la actualizacion tambien. Y aunque se que lo necesito, por ahora no puedo pagarla :cry:



Supongo que esto me pone una gran traba para completar todo esto, asi que les agradezco mil su apoyo...

[msc hotline sat]

Pues las actualizaciones no se pagan, Microsoft no cobra por ellas, pero parece ser que te dieron un sistema pirata, y ahora que te tienen en sus manos encima quieren cobrar las actualizaciones ! Esto pasa de la raya !



Lo que te recomiendo es que, cuando puedas, instales un sistema legal, y podrás actualizar cuando haya actualizaciones sin pagar nada mas !



Y si los ficheros no los encuentras, quizas ya no los tienes, y solo quedan restos de claves que en tal caso serán basura, pero no te afectarán



Y sobre lo que dices de los pendrives, vacuna tu ordenador y pendrives con el ELIPEN:

[Patrilda1]

Gracias! Descargare el Elipen enseguida.

Ya tengo programado la compra de un sistema original. Para Enero proximo. Antes de instalarlo vendre a ver los tutoriales para hacerlo y no equivocarme.



Con esto creo que pueden dar por cerrado mi caso. saludos

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 10-12-2008