No soy capaz de eliminar esto (SOLUCIONADO)

[marlaior]

Tengo una serie de trojanos que me están dando la lata (y mucho). Me los detecta el avast!, el Malwarebites antimalware y el kasper-online, pero no soy capaz de eliminarlos.

Algunos de los efecto: Se me abre una ventana de l explorer con publicidad, luego de unos segundos se cierra, e inmediatamente se vuelve a abrir con publicidad distinta. El administrador de tareas está desaparecido. Ni ctrl-alt-supr, ni botón derecho en la barra, ni gpedit.msc y habilitar. No aparece por ningún lado. El Regedit no se encuentra. Windows dice que no lo ve por ningún lado, yo lo veo en la carpeta de windows, pero al hacer doble clic, me vuelve a salir el mensaje de que el regedit está desaparecido. El Explorer no tira. Cuendo lo lanzas empieza a hacer cosas raras como que se abre la ventana tropecientas veces una encima de otra y no da parado, que programas antivirus que necesiten el IE te digan que tienes que instalar como mínimo el IE4.



Esto es lo que me detecta el Kaspersky online:



C:\Documents and Settings\marlaior\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Hotmail (es 189\Correo elec 14a\125A3CAF-00000020.eml Infected: Trojan-Spy.HTML.Paylap.du 1

C:\Documents and Settings\marlaior\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Hotmail (es 189\Correo elec 14a\339E3BC5-00000027.eml Suspicious: Trojan-Spy.HTML.Fraud.gen 1

C:\Documents and Settings\marlaior\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Hotmail (ma 44\Correo elec 8be\09622793-0000002D.eml Infected: Trojan-Spy.HTML.Paylap.du 1

C:\Documents and Settings\marlaior\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Hotmail (ma 44\Correo elec 8be\1EAA6BFF-00000038.eml Suspicious: Trojan-Spy.HTML.Fraud.gen 1

C:\WINDOWS\iexplore.exe Infected: Trojan-Banker.Win32.Banker.aevh 1

[julibaga]

Bájate las siguientes utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b],

copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas se quedaron solucionados los problemas.



Si pide el [url=http://www.zonavirus.com/descargas/elinotif.asp]Elinotif.dll[/url], copiar dicho fichero en la misma carpeta que el Elistara.exe, el cual utilizará si lo necesita.



Y para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación)

y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[msc hotline sat]

Si solo lo detectas en .eml, son mails, eliminalos y listos



Nuestras utilidades no tiene porqué detectar .eml.



Pero igualmente el ELISTARA puede corregirte claves y otras historias afectadas, de lo cual no informará necesariamente, por lo que, en cualquier caso, tras probarlo, reinicia y comentanos el resultado, gracias.



saludos



ms, 27-2-2009

[marlaior]

Al principio parece que se soluciona una parte del problema, pero al reiniciar, vuelve a salir todo a la superficie.

Al pasar el elistar esto es lo que me hace:



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\Drivers\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 6457

Nº Total de Ficheros: 70462

Nº de Ficheros Analizados: 20706

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Feb 27 18:10:34 2009

EliTriIP v5.60 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 010402.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.0scan.com

...

etc





Luego le doy una pasada con el malwarebyte y hace esto:

Malwarebytes' Anti-Malware 1.34

Versión de la Base de Datos: 1809

Windows 5.1.2600 Service Pack 2



27/02/2009 17:36:04

mbam-log-2009-02-27 (17-36-04).txt



Tipo de examen : Examen Rápido

Objetos examinados: 67327

Tiempo transcurrido: 3 minute(s), 58 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 1

Valores del Registro Infectados: 1

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 1



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.



Valores del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Printspooler (Trojan.Agent) -> Quarantined and deleted successfully.



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

C:\WINDOWS\iexplore.exe (Backdoor.Bot) -> Quarantined and deleted successfully.





Le doy una segunda pasada pasada con el malwarebyte:

Malwarebytes' Anti-Malware 1.34

Versión de la Base de Datos: 1809

Windows 5.1.2600 Service Pack 2



27/02/2009 17:42:24

mbam-log-2009-02-27 (17-42-24).txt



Tipo de examen : Examen Rápido

Objetos examinados: 67329

Tiempo transcurrido: 3 minute(s), 28 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 1

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 0



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.



Valores del Registro Infectados:

(No se han detectado elementos maliciosos)



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

(No se han detectado elementos maliciosos)







En este punto, ha dejado de emerger la ventana publicitaria del explorer, pero tanto el administrador de tareas como el regedit siguen desaparecidos.

Reinicio y al reiniciar, vuelve a emerger la p... ventana del explorer.



Vuelvo a pasar el malwarebyte y me encuentro con esto:



Malwarebytes' Anti-Malware 1.34

Versión de la Base de Datos: 1809

Windows 5.1.2600 Service Pack 2



27/02/2009 19:55:59

mbam-log-2009-02-27 (19-55-59).txt



Tipo de examen : Examen Rápido

Objetos examinados: 65763

Tiempo transcurrido: 6 minute(s), 8 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 1

Valores del Registro Infectados: 1

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 1



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.



Valores del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Printspooler (Trojan.Agent) -> Quarantined and deleted successfully.



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

C:\WINDOWS\iexplore.exe (Backdoor.Bot) -> Quarantined and deleted successfully.









Pues eso. Por cierto, esto me salió ayer y probé varios antivirus online, el spybot S&D, ell RegAlizer. Uno de estos programas me marcaba que tenía el Trojan Agent/Gen-IEFake



Muchas gracias.

[marlaior]

Ah! Otra cosa, cada vez que reinicio el Spybot SyD me pide confirmación para un cambio en el registro para un programa que no había visto antes: C:\Archivos de programa\spoolsvt.exe

Tal vez sea una chorrada pero yo conozco el spoolsv, sin la t final. ero éste, así escrito, es la primera vez que lo veo. Lo he visto porque estaba mirando las excepciones del firewall y me aparecía ésta excepción que no me sonaba de nada.

[msc hotline sat]

Pues prueba el SPROCES :


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 27-2-2009





y ya puedes ir enviandonos este C:\Archivos de programa\spoolsvt.exe para analizar que es muy sospechoso:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

ms.

[marlaior]

[b]Esto es lo que dice el SProces:

[/b]



Fri Feb 27 21:23:15 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: MARCLISS-F1A36C

Nombre Usuario: marlaior



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\LEXBCES.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\LEXPPS.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\SONY ERICSSON\MOBILE2\APPLICATION LAUNCHER\APPLICATION LAUNCHER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\TELECA SHARED\CAPABILITYMANAGER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INSTALLSHIELD\UPDATESERVICE\ISSCH.EXE

C:\WINDOWS\SYSTEM32\JWT32.EXE

C:\ARCHIVOS DE PROGRAMA\UNLOCKER\UNLOCKERASSISTANT.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\SPOOLSVT.EXE

C:\ARCHIVOS DE PROGRAMA\ASKBARDIS\BAR\BIN\ASKSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\NERO BACKITUP 4\NBSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\TELECA SHARED\GENERIC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\MARLAIOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 www.008k.com

O1 - Hosts: 127.0.0.1 008k.com

O1 - Hosts: 127.0.0.1 www.00hq.com



...

[b](te ahorro el rollo de las líneas del Host)[/b]

...



O1 - Hosts: 127.0.0.1 tvsatellitepc.com

O1 - Hosts: 127.0.0.1 www.ultragamesdownload.com

O1 - Hosts: 127.0.0.1 ultragamesdownload.com

O1 - Hosts: 127.0.0.1 www.unclaimedcashlookup.com

O1 - Hosts: 127.0.0.1 unclaimedcashlookup.com

O1 - Hosts: 127.0.0.1 www.unlimitednetdownloads.com

O1 - Hosts: 127.0.0.1 unlimitednetdownloads.com

O1 - Hosts: 127.0.0.1 www.unlimitedsoftwaredownloads.com

O1 - Hosts: 127.0.0.1 unlimitedsoftwaredownloads.com

O1 - Hosts: 127.0.0.1 www.watchnettvtoday.com

O1 - Hosts: 127.0.0.1 watchnettvtoday.com

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Archivos de programa\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Microsoft appswitch] C:\WINDOWS\system32\jwt32.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ASKService - Unknown owner - C:\Archivos de programa\AskBarDis\bar\bin\AskService.exe

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: LGE KU580 driver (WDM) (lg3gbus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lg3gbus.sys

O23 - Service: LGE KU580 USB WMC Modem Filter (lg3gmdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lg3gmdfl.sys

O23 - Service: LGE KU580 USB WMC Modem Driver (lg3gmdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lg3gmdm.sys

O23 - Service: LGE KU580 USB WMC Device Management Drivers (WDM) (lg3gmgmt) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lg3gmgmt.sys

O23 - Service: LGE KU580 USB Ethernet Emulation (NDIS) (lg3gnd5) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lg3gnd5.sys

O23 - Service: LGE KU580 USB WMC OBEX Interface (lg3gobex) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lg3gobex.sys

O23 - Service: LGE KU580 USB Ethernet Emulation (WDM) (lg3gunic) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\lg3gunic.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Sony Ericsson Device 044 Driver driver (WDM) (SE2Cbus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cbus.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Modem Filter (SE2Cmdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmdfl.sys

O23 - Service: Sony Ericsson Device 044 USB WMC Modem Driver (SE2Cmdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\SE2Cmdm.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



30 Servicios.

10 de Carga Automatica.

19 de Carga Manual.

1 Deshabilitados.

[lucl]

Ejecuta hijackthis busca esta entrada





O4 - HKLM\..\Run: []





y eliminala seleccionandola y dando a fix cheked .







Y busca esta otra





C:\WINDOWS\SYSTEM32\JWT32.EXE







y añadele extension .VIR y la subes a analizar a virustotal. Nos pegas el log con el resultado saludos





www.virustotal.com/es

[julibaga]

A parte de lo que te menciona [color=#00BF00]lucl[/color], desinstala la barra Ask.

[marlaior]

Os he enviado el archivo de marras pero la entrada que me decís no sé a cual os referís. las entadas más parecidas a eso son:



O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Microsoft appswitch] C:\WINDOWS\system32\jwt32.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE





¿A cual os referís?

[marlaior]

Este es el log del hijack completo. ¿Cual es la entrada que debo borrar?





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 0:07:56, on 28/02/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Archivos de programa\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe



--

End of file - 6760 bytes

[marlaior]

La ventanita de los co..... ha dejado de aparecer!!!! He reiniciado Y esto sigue ok!!



GRACIAS!



Lo único que sigue sin funcionarme ni el regedit (incluso cuando lo localizo y hago doble clic dice windows que no puede encontarlo) ni el administrador de tareas. Pero tal vez esto no sea ya cosa de virus, malware o cosas raras de estas.







ETERNAMENTE AGRADECIDO!!

[julibaga]

Bueno, pues ahí la llevas, poco a poco se van solucionando.

[msc hotline sat]

Y ademas te faltan parches :



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



Internet Explorer: (v6.0.2900.2180) ;SP2;





Debes lanzar un windowsupdate e instalar el SP3 y demas críticos posteriores , como el MS08-067 y MS08-078





y estos ficheros:



C:\ARCHIVOS DE PROGRAMA\SPOOLSVT.EXE



C:\ARCHIVOS DE PROGRAMA\ASKBARDIS\BAR\BIN\ASKSERVICE.EXE



C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE





son sospechosos, (aparte del indicado por lucl C:\WINDOWS\SYSTEM32\JWT32.EXE), asi que envianoslos tambien para analizar, igual que el que ya has enviado.







>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-2-2009

[marlaior]

Os he enviado el spooler ese (spoolsvt) los otros dos archivos que me pedís han desaparecido al eliminar la barra ASK, que ha sido cuando han dejado de aparecer las ventanitas emergentes.

El spooler yo lo he examinado con el avast, el spybot, el malarebyte, el kasper, el panda y parece limpio. Pero es un archivo desconocido para mi que en algún momemnto ha conseguido saltarse el firewall y que está trabajando (aunque no se en qué) desde que enciendo el ordenador. Yo antes solo tenía el spoolsv.exe y ahora tengo tambie´n el spoolsvt.exe, que es que os envío.

[lucl]

Pues tranqui porque ahora que lo has enviado lo analizaremos y te diremos algo al respecto saludos

[msc hotline sat]

Sï, el lunes, cuando volvamos al trabajo en SATINFO, lo analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos.



Y mientras añade la extension .VIR a dicho fichero C:\ARCHIVOS DE PROGRAMA\SPOOLSVT.EXE , para que no se ponga en uso a partir del siguiente reinicio, y si subes este fichero a http://www.virustotal.com veras el análisis del mismo con unos 40 antivirus actualizados, posteanos dicho informe, gracias.



saludos



ms, 28-2-2009









NOTA: Si quieres

[marlaior]

[b]Este es el informe de virustotal:[/b]



Motor antivirus Versión Última actualización Resultado

a-squared 4.0.0.101 2009.02.28 -

AhnLab-V3 5.0.0.2 2009.02.27 -

AntiVir 7.9.0.98 2009.02.28 TR/Spy.Gen

Authentium 5.1.0.4 2009.02.28 W32/Threat-HLLSI-based!Maximus

Avast 4.8.1335.0 2009.02.27 -

AVG 8.0.0.237 2009.02.28 Generic12.BUUC

BitDefender 7.2 2009.02.28 Generic.Malware.SYd!.55D1E9AA

CAT-QuickHeal 10.00 2009.02.28 -

ClamAV 0.94.1 2009.02.28 -

Comodo 986 2009.02.20 -

DrWeb 4.44.0.09170 2009.02.28 -

eSafe 7.0.17.0 2009.02.26 -

eTrust-Vet 31.6.6376 2009.02.27 -

F-Prot 4.4.4.56 2009.02.28 W32/Threat-HLLSI-based!Maximus

F-Secure 8.0.14470.0 2009.02.27 W32/Malware

Fortinet 3.117.0.0 2009.02.28 -

GData 19 2009.02.28 Generic.Malware.SYd!.55D1E9AA

Ikarus T3.1.1.45.0 2009.02.28 -

K7AntiVirus 7.10.649 2009.02.27 -

Kaspersky 7.0.0.125 2009.02.28 -

McAfee 5539 2009.02.28 -

McAfee+Artemis 5539 2009.02.28 -

Microsoft 1.4306 2009.02.28 -

NOD32 3897 2009.02.28 probably unknown NewHeur_PE

Norman 6.00.06 2009.02.27 W32/Malware

nProtect 2009.1.8.0 2009.02.28 -

Panda 10.0.0.10 2009.02.28 -

PCTools 4.4.2.0 2009.02.28 -

Prevx1 V2 2009.02.28 -

Rising 21.18.52.00 2009.02.28 -

SecureWeb-Gateway 6.7.6 2009.02.28 Trojan.Spy.Gen

Sophos 4.39.0 2009.02.28 -

Sunbelt 3.2.1858.2 2009.02.28 BehavesLike.Win32.Malware (v)

Symantec 10 2009.02.28 -

TheHacker 6.3.2.6.267 2009.02.28 -

TrendMicro 8.700.0.1004 2009.02.27 -

VBA32 3.12.10.1 2009.02.26 MalwareScope.Zhelatin.Api.accept

ViRobot 2009.2.28.1628 2009.02.28 -

VirusBuster 4.5.11.0 2009.02.28 -

Información adicional

Tamano archivo: 6144 bytes

MD5...: 1c01790b542b361b3c30dd0e3ebc72fa

SHA1..: 419d29ab42b6892339c5977d586a94011cdbf645

SHA256: 803971e75501661f7ac1828ca12da4c581b600c061335dba88e6f85f0bca3083

SHA512: e0392fbe9117b7a00dc980d6ece7984cf272a16c03552dd94eba63d2ef10b1bc

a01a6b749531832e5220dd5746707f4b2eb4f48b2f39904901c962b01fc9ec96

ssdeep: 48:6BMYUJZF80YL/ucaFFRxEqdGSoY31jOR9xGDxhBWs1OoTAlCmcYHr:YUh80Q/

tavkAa2jiG1hIsTuC

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x1000

timedatestamp.....: 0x49a2f23a (Mon Feb 23 19:00:10 2009)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x6a8 0x800 4.89 c0199067ced66dd587335eea40a44035

.rdata 0x2000 0x33c 0x400 3.81 babb421438cbf4eeeea7b05b560d3719

.data 0x3000 0x684 0x800 1.58 41a94f7425fd92e280e311ea1b73718e



( 5 imports )

> kernel32.dll: GetLastError, GlobalAlloc, GlobalFree, ExitThread, Sleep, CreateMutexA, ExitProcess, CreateThread, RtlZeroMemory

> ws2_32.dll: send, socket, recv, listen, ioctlsocket, connect, closesocket, bind, accept, WSAStartup, WSACleanup, htons

> advapi32.dll: RegCloseKey, RegSetValueExA, RegCreateKeyExA

> shell32.dll: ShellExecuteA, SHGetSpecialFolderPathA

> winmm.dll: timeBeginPeriod, timeEndPeriod



( 0 exports )

[lucl]

Da virico claramente, le pusise la extension .vir verdad? pues ahora a esperar hasta el lunes y ya con extension .vir podras usar el pc con mas comodidad aunque faltara darte la herramienta ok? pero eso ya el lunes saludos

[marlaior]

si, le puse el .vir



Muchas gracias, de verdad. Sin vosotros no sé que hubiera hecho. Andaba más perdido que la mirada de espinete. Hasta el lunes

[msc hotline sat]

Sí, un nuevo malware que aun no conocen los principales antivirus como Kaspersky, McAfee, Panda, Symantec o Trend, y que es justo decir que el sistema heuristico de NOD32 lo ha detectado como un "probably unknown NewHeur_PE",


[quote]Kaspersky 7.0.0.125 2009.02.28 -

McAfee 5539 2009.02.28 -

McAfee+Artemis 5539 2009.02.28 -

Microsoft 1.4306 2009.02.28 -

NOD32 3897 2009.02.28 probably unknown NewHeur_PE

Norman 6.00.06 2009.02.27 W32/Malware

nProtect 2009.1.8.0 2009.02.28 -

Panda 10.0.0.10 2009.02.28 -

PCTools 4.4.2.0 2009.02.28 -

Prevx1 V2 2009.02.28 -

Rising 21.18.52.00 2009.02.28 -

SecureWeb-Gateway 6.7.6 2009.02.28 Trojan.Spy.Gen

Sophos 4.39.0 2009.02.28 -

Sunbelt 3.2.1858.2 2009.02.28 BehavesLike.Win32.Malware (v)

Symantec 10 2009.02.28 -

TheHacker 6.3.2.6.267 2009.02.28 -

TrendMicro 8.700.0.1004 2009.02.27 -[/quote]

Y como que pudiera tener parientes en el disco duro, por si ha hecho copia de sí mismo para persistir, lo cual hacen muchos, prueba lanzar el ELIMD5 indicandole cualquiera de las dos cadenas:



MD5...: 1c01790b542b361b3c30dd0e3ebc72fa

SHA1..: 419d29ab42b6892339c5977d586a94011cdbf645



es la ventaja que tiene saber sus hashes :wink:


[quote]ELIMD5

http://www.zonavirus.com/descargas/elimd5.asp[/quote]

Aparte, mañana, cuando volvamos al trabajo en SATINFO, implementaremos su control y eliminación en nuestras utilidades, de lo cual informaremos.



saludos



ms, 1-3-2009

[marlaior]

Con la primera cadena que me indicasteis el EliMD5 borró Spoolsvt.exe.vir (el .vir se lo había añadido yo)

Con la segunda cadena borró Spoolsvt.exe.vir.(1C01790B542B361B3C30DD0E3EBC72FA).VIR

[marlaior]

Este es el INFOSAT



Sun Mar 01 14:58:52 2009

EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Por favor, Envienos Muestra para Analizar.

C:\Muestras\SPOOLSVT.EXE.VIR.(1C01790B542B361B3C30DD0E3EBC72FA).vir

C:\Archivos de programa\SPOOLSVT.EXE.VIR --> Eliminado. (Hash: 1C01790B542B361B3C30DD0E3EBC72FA).



Nº Total de Directorios: 6306

Nº Total de Ficheros: 68172

Nº de Ficheros Analizados: 14606

Nº de Ficheros Detectados: 1

Nº de Ficheros Eliminados: 1



Sun Mar 01 15:18:30 2009

EliMD5 v1.3 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Por favor, Envienos Muestra para Analizar.

C:\Muestras\SPOOLSVT.EXE.VIR.(1C01790B542B361B3C30DD0E3EBC72FA).VIR.(419D29AB42B6892339C5977D586A94011CDBF645).vir

C:\Muestras\SPOOLSVT.EXE.VIR.(1C01790B542B361B3C30DD0E3EBC72FA).VIR --> Eliminado. (Hash: 419D29AB42B6892339C5977D586A94011CDBF645).



Nº Total de Directorios: 6306

Nº Total de Ficheros: 68167

Nº de Ficheros Analizados: 14606

Nº de Ficheros Detectados: 1

Nº de Ficheros Eliminados: 1



_______________________________________________________





Os envío muestra

[msc hotline sat]

Bien, señal que no hay ninguno mas copia del inicial.



Ahora ya está eliminado y guardado una copia inactiva en C:\muestras



Mañana lo analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



Saludos



ms, 1-3-2009

[msc hotline sat]

Recibidos dos ficheros muestra, pasamos a analizarlos:



Pues en el preanalisis de dichas muestras vemos que al otro fichero muy pocos antivirus los detectan actualmente (6 de 39) por lo que debe ser de muy reciente creación.:





File jwt32.exe.vir received on 03.02.2009 10:00:55 (CET)





Result: 6/39 (15.39%)





Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.03.02 -

AhnLab-V3 5.0.0.2 2009.02.27 -

AntiVir 7.9.0.98 2009.03.02 TR/Spy.Gen

Authentium 5.1.0.4 2009.03.01 -

Avast 4.8.1335.0 2009.03.01 Win32:Spyware-gen

AVG 8.0.0.237 2009.03.01 SHeur2.SDC

BitDefender 7.2 2009.03.02 -

CAT-QuickHeal 10.00 2009.03.02 -

ClamAV 0.94.1 2009.03.02 -

Comodo 986 2009.02.20 -

DrWeb 4.44.0.09170 2009.03.02 -

eSafe 7.0.17.0 2009.02.26 -

eTrust-Vet 31.6.6379 2009.03.02 -

F-Prot 4.4.4.56 2009.03.01 -

F-Secure 8.0.14470.0 2009.03.02 -

Fortinet 3.117.0.0 2009.03.02 -

GData 19 2009.03.02 Win32:Spyware-gen

Ikarus T3.1.1.45.0 2009.03.02 -

K7AntiVirus 7.10.649 2009.02.27 -

Kaspersky 7.0.0.125 2009.03.02 -

McAfee 5540 2009.03.01 -

McAfee+Artemis 5540 2009.03.01 -

Microsoft 1.4306 2009.03.02 -

NOD32 3900 2009.03.02 -

Norman 6.00.06 2009.02.27 -

nProtect 2009.1.8.0 2009.03.02 -

Panda 10.0.0.10 2009.03.01 -

PCTools 4.4.2.0 2009.03.01 -

Prevx1 V2 2009.03.02 -

Rising 21.19.01.00 2009.03.02 -

SecureWeb-Gateway 6.7.6 2009.03.02 Trojan.Spy.Gen

Sophos 4.39.0 2009.03.02 -

Sunbelt 3.2.1858.2 2009.02.28 -

Symantec 10 2009.03.02 -

TheHacker 6.3.2.6.268 2009.03.01 -

TrendMicro 8.700.0.1004 2009.03.02 -

VBA32 3.12.10.1 2009.03.01 suspected of Embedded.MalwareScope.Zhelatin.Api.accept

ViRobot 2009.2.28.1629 2009.03.02 -

VirusBuster 4.5.11.0 2009.03.01 -

Additional information

File size: 810941 bytes

MD5...: 71283182c977cd79d219f4eee81e5384

SHA1..: 12ef12b769b652a918a820587474b629ad2acad5



Resaltamos que los principales antivirus profesionales como BitDefender, Dr.Web, F-secure, Kaspersky, McAfee, NOD-32, Panda, Sophos, Symantec, TrendMicro, etc no lo detectan, en cambio sí AVG y AVAST !



Hoy mismo implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



saludos



ms, 2-3-2009

[msc hotline sat]

Pues estaban relacionados los dos ficheros, y uno mas que crea y que tambien pasamos a controlar y para el que usa el nombre de iexplore.exe en la carpeta de windows, siendo un Banker que pasamos a controlar con el ELISTARA de hoy 18.12


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 2-3-2009

[marlaior]

Vaya! Así que como infectado de este virus soy un pionero! Pues que gracia me hace...

[msc hotline sat]

Alguien ha de ser el primero... aunque no haga ninguna gracia ! :?



saludos



ms, 2-3-2009

[grallet4]

yo soy la segunda xD

[msc hotline sat]

Bueno grallet4, siga en su Tema, ya que allí le comento que nos envie "su" muestra, no sea que se trate de otra variante, pues dicen que no hay dos sin tres...



saludos



ms, 2-3-2009