Un virus q no puedo eliminar (SOLUCIONADO)

[Link64]

hola mi probrema es q hay un virus en compu llamado 035.exe q esta creando otros dos archivos llamados dvkdnfs.bat y hsdjhsdw.bat



tengo el nod32 y nada mas pone en cuarentena los dvkdnfs y hsdjhsdw:

C:\Windows\Temp\dvkdnfs.bat Win32/Qhost.NIW trojan - Event occurred on a new file created by the application: C:\Windows\Temp\035.exe.

--------------------------------------------------------------------------------------------------------------------------------------------

C:\Windows\Temp\hsdjhsdw.bat Win32/Qhost.NIW trojan - Event occurred on a new file created by the application: C:\Windows\Temp\035.exe.



pero cuando escaneo el 035.exe dice q no tiene virus y lo curioso es q cuando reinicio la compu aparece con otro numero pero sigue el mismo el q estava se puede eliminar pero el q se creo el nuevo no por ejemplo esta este: 035.exe la reinicio y sige ese q se puede eliminar y aparte otro nuevo como 270.exe q no se puede eliminar



acontinuacion voy a poner los resultados de la paguina virustotal al escanear el archivo 035.exe
[code]Motor antivirus Versión Última actualización Resultado
a-squared 4.0.0.101 2009.04.19 Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.04.19 -
AntiVir 7.9.0.148 2009.04.19 -
Antiy-AVL 2.0.3.1 2009.04.17 -
Authentium 5.1.2.4 2009.04.19 -
Avast 4.8.1335.0 2009.04.19 -
AVG 8.5.0.287 2009.04.18 -
BitDefender 7.2 2009.04.19 -
CAT-QuickHeal 10.00 2009.04.18 -
ClamAV 0.94.1 2009.04.19 -
Comodo 1121 2009.04.19 -
DrWeb 4.44.0.09170 2009.04.19 -
eSafe 7.0.17.0 2009.04.19 -
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.19 -
F-Secure 8.0.14470.0 2009.04.19 -
Fortinet 3.117.0.0 2009.04.19 -
GData 19 2009.04.19 -
Ikarus T3.1.1.49.0 2009.04.19 Trojan.Win32.VB
K7AntiVirus 7.10.707 2009.04.17 -
Kaspersky 7.0.0.125 2009.04.19 -
McAfee 5589 2009.04.19 -
McAfee+Artemis 5589 2009.04.19 -
McAfee-GW-Edition 6.7.6 2009.04.19 -
Microsoft 1.4502 2009.04.19 -
NOD32 4019 2009.04.18 -
Norman 6.00.06 2009.04.17 -
nProtect 2009.1.8.0 2009.04.19 -
Panda 10.0.0.14 2009.04.19 -
PCTools 4.4.2.0 2009.04.17 -
Prevx1 V2 2009.04.19 -
Rising 21.25.62.00 2009.04.19 -
Sophos 4.40.0 2009.04.19 -
Sunbelt 3.2.1858.2 2009.04.18 -
Symantec 1.4.4.12 2009.04.19 -
TheHacker 6.3.4.0.309 2009.04.16 -
TrendMicro 8.700.0.1004 2009.04.17 -
VBA32 3.12.10.2 2009.04.12 -
ViRobot 2009.4.18.1685 2009.04.18 -
VirusBuster 4.6.5.0 2009.04.19 -
Información adicional
Tamano archivo: 151552 bytes
MD5...: 88d28b0a13d21c8de6177e42373be7ba
SHA1..: e2e0340e2357c9ac232c2c3097222fbe97e45725
SHA256: 462638ce4e63a0de9b6de1581e148a29522609d7e8d45c048320827c75644e97
SHA512: 80ca5403e12880f16344807fcb83e3bdc06da57003d6079a57f0c11346b3963a
1649c4f1876e66302103a16909293a00c24e30b9c8187449a255bc572cca38d0
ssdeep: 1536:eD8OrxhH2H2+NLb/FuPC6XgAFo594hRx2Gt5Uwm+KPGIJax1HJAwp/sagt:
eAOrziLVAPBXgJg8GctPrJQVJAk/zY

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x110c
timedatestamp.....: 0x49e651de (Wed Apr 15 21:30:06 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x85f0 0x9000 5.06 7bd791c4ea5ae933ec483bb748abd559
.data 0xa000 0x4a8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xb000 0x1a8fc 0x1b000 7.83 fcdb9ffb7da43597df8e28a3ddfc1b9d

( 1 imports )
> MSVBVM60.DLL: -, -, -, -, -, -, -, -, DllFunctionCall, -, __vbaExceptHandler, -, -, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -, -

( 0 exports )

RDS...: NSRL Reference Data Set
-
[/code]

es pero q me puedan ayudar

[lucl]

Pues envianos el archivo en cuestion para analizarlo, ademas antes de hacerlo añadele extension .VIR. Te lo analizaremos te diremos algo sobre el. Que solo dos antivirus lo vean como amenaza puede ser por resultar falso positivo pero al analizartelo ya te diremos exacto que es y tomaremos medidas si es necesario. Te dejo link de modo de envio saludos





https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[Link64]

bueno estu[b][i]v[/i][/b]e por ahi revisando el foro y probe el SProces 3.4 y me dio este log:


[code](19-4-2009 23:48:36)
SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Nombre Equipo: DESKTOP
Nombre Usuario: Administrador

Procesos Activos:
C:\WINDOWS.1\SYSTEM32\SMSS.EXE
C:\WINDOWS.1\SYSTEM32\WINLOGON.EXE
C:\WINDOWS.1\SYSTEM32\SERVICES.EXE
C:\WINDOWS.1\SYSTEM32\LSASS.EXE
C:\WINDOWS.1\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS.1\SYSTEM32\SVCHOST.EXE
C:\WINDOWS.1\SYSTEM32\SVCHOST.EXE
C:\WINDOWS.1\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS.1\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS.1\SYSTEM32\WGATRAY.EXE
C:\WINDOWS.1\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE
C:\WINDOWS.1\RTHDCPL.EXE
C:\ARCHIVOS DE PROGRAMA\GOOGLE\QUICK SEARCH BOX\QSB.EXE
C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE
C:\ARCHIVOS DE PROGRAMA\UNLOCKER\UNLOCKERASSISTANT.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE
C:\WINDOWS.1\SYSTEM32\SVCHOST.EXE
C:\WINDOWS.1\SYSTEM32\SVCHOST.EXE
C:\WINDOWS.1\SYSTEM32\SVCHOST.EXE
C:\WINDOWS.1\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE
C:\WINDOWS\TEMP\035.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS.1\SYSTEM32\DRWTSN32.EXE
C:\WINDOWS.1\SYSTEM32\DRWTSN32.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE
C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\ARCHIVOS DE PROGRAMA\TASKSWITCHXP\TASKSWITCHXP .EXE
C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR.DESKTOP\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\27WIIU5V\SPROCES[1].EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS.1\system32\ieframe.dll
R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS.1\system32\userinit.exe,
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\YTSingleInstance.dll
O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\ARCHIV~1\TEXTAL~1\TAForIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QT Lite\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Archivos de programa\Google\Quick Search Box\qsb.exe" /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O4 - Global Startup: HP Digital Imaging Monitor.lnk
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [TABS] Tabbed Browsing
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/3/9/E39C664F-A8E3-4F69-A109-1AE9849204EE/OGAControl.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5588/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS.1\system32\webcheck.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.1\system32\wpdshserviceobj.dll
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS.1\system32\stobject.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.1\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.1\system32\ati2sgag.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS.1\system32\svchost -k DcomLaunch (file missing)
O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS.1\SYSTEM32\DRIVERS\eamon.sys
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: mdmxsdk - Conexant - C:\WINDOWS.1\SYSTEM32\DRIVERS\mdmxsdk.sys
O23 - Service: Eset Nod32 Boot (NOD32FiXTemDono) - Unknown owner - C:\WINDOWS.1\system32\regedt32.exe /s C:\WINDOWS.1\nod32fixtemdono.reg (file missing)
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS.1\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS.1\SYSTEM32\DRIVERS\ati2mtag.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS.1\System32\dmadmin.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS.1\SYSTEM32\DRIVERS\GEARAspiWDM.sys
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS.1\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS.1\SYSTEM32\DRIVERS\HPZid412.sys
O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS.1\SYSTEM32\DRIVERS\HPZipr12.sys
O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS.1\SYSTEM32\DRIVERS\HPZius12.sys
O23 - Service: HSXHWBS2 - Conexant Systems, Inc. - C:\WINDOWS.1\SYSTEM32\DRIVERS\HSXHWBS2.sys
O23 - Service: HSX_DP - Conexant Systems, Inc. - C:\WINDOWS.1\SYSTEM32\DRIVERS\HSX_DP.sys
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS.1\SYSTEM32\drivers\RtkHDAud.sys
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: PS2 (Ps2) - Hewlett-Packard Company - C:\WINDOWS.1\SYSTEM32\DRIVERS\PS2.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS.1\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS.1\SYSTEM32\DRIVERS\Rtnicxp.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS.1\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS.1\SYSTEM32\DRIVERS\secdrv.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS.1\System32\svchost -k DComLaunch (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS.1\System32\TuneUpDefragService.exe
O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS.1\SYSTEM32\Drivers\usbaapl.sys
O23 - Service: winachsx - Conexant Systems, Inc. - C:\WINDOWS.1\SYSTEM32\DRIVERS\HSX_CNXT.sys

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS.1\SYSTEM32\drivers\dmboot.sys

33 Servicios.
10 de Carga Automatica.
22 de Carga Manual.
1 Deshabilitados.
[/code]

[msc hotline sat]

Pues si ya nos has enviado estos ficheros, cuando volvamos al trabajo en SATINFO los analizaremos e informaremos







C:\WINDOWS\TEMP\035.EXE

y tambien estos complementarios 270.exe , dvkdnfs.bat , hsdjhsdw.bat





y del log vemos muy sospechosa esta clave:



O23 - Service: Eset Nod32 Boot (NOD32FiXTemDono) - Unknown owner - C:\WINDOWS.1\system32\regedt32.exe /s C:\WINDOWS.1\nod32fixtemdono.reg (file missing)



Es que instalaste algun crack o estas usando el NOD32 pirata ???









Y revolviendo en el baul de los recuerdos, he visto que en este otro Tema https://foros.zonavirus.com/viewtopic.php?f=5&t=28103&hilit=dvkdnfs&start=0 hablabamos de algo similar, aunque en lugar del 035.EXE era 787.exe pero tambien creaba los dvkdnfs.bat y hsdjhsdw.bat , por lo que puede tratarse de una variante del mismo:


[quote]me he fijado que se ha creado un archivo que se llama 787.exe, que tiene como icono una impresora. Me ha llamado la atencion porque no la he encendido desde hace al menos dos meses.



A parte de eso los archivos bat que intenta crear se llaman dvkdnfs.bat y hsdjhsdw.bat respectivamente.[/quote]



Prueba el ELISTARA, en el que implementamos su control, a ver si detecta algo o pide muestras...


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 20-4-2009

[msc hotline sat]

Esta variante aun la detectan menos que la anterior ... ! :





File 035.exe received on 04.19.2009 18:47:09 (CET)

Current status: finished



Result: 2/40 (5.00%)

Compact Print results

Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.04.19 Trojan.Win32.VB!IK

AhnLab-V3 5.0.0.2 2009.04.19 -

AntiVir 7.9.0.148 2009.04.19 -

Antiy-AVL 2.0.3.1 2009.04.17 -

Authentium 5.1.2.4 2009.04.19 -

Avast 4.8.1335.0 2009.04.19 -

AVG 8.5.0.287 2009.04.18 -

BitDefender 7.2 2009.04.19 -

CAT-QuickHeal 10.00 2009.04.18 -

ClamAV 0.94.1 2009.04.19 -

Comodo 1121 2009.04.19 -

DrWeb 4.44.0.09170 2009.04.19 -

eSafe 7.0.17.0 2009.04.19 -

eTrust-Vet 31.6.6455 2009.04.14 -

F-Prot 4.4.4.56 2009.04.19 -

F-Secure 8.0.14470.0 2009.04.19 -

Fortinet 3.117.0.0 2009.04.19 -

GData 19 2009.04.19 -

Ikarus T3.1.1.49.0 2009.04.19 Trojan.Win32.VB

K7AntiVirus 7.10.707 2009.04.17 -

Kaspersky 7.0.0.125 2009.04.19 -

McAfee 5589 2009.04.19 -

McAfee+Artemis 5589 2009.04.19 -

McAfee-GW-Edition 6.7.6 2009.04.19 -

Microsoft 1.4502 2009.04.19 -

NOD32 4019 2009.04.18 -

Norman 6.00.06 2009.04.17 -

nProtect 2009.1.8.0 2009.04.19 -

Panda 10.0.0.14 2009.04.19 -

PCTools 4.4.2.0 2009.04.17 -

Prevx1 V2 2009.04.19 -

Rising 21.25.62.00 2009.04.19 -

Sophos 4.40.0 2009.04.19 -

Sunbelt 3.2.1858.2 2009.04.18 -

Symantec 1.4.4.12 2009.04.19 -

TheHacker 6.3.4.0.309 2009.04.16 -

TrendMicro 8.700.0.1004 2009.04.17 -

VBA32 3.12.10.2 2009.04.12 -

ViRobot 2009.4.18.1685 2009.04.18 -

VirusBuster 4.6.5.0 2009.04.19 -

Additional information

Tamano archivo: 151552 bytes

MD5...: 88d28b0a13d21c8de6177e42373be7ba

SHA1..: e2e0340e2357c9ac232c2c3097222fbe97e45725





pero es mas de lo mismo que la que ya controlabamos, segun indicado.



Pasamos a monitorizarla, e implementaremos su control y eliminación hoy mismo en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-4-2009

[msc hotline sat]

Pues una vez monitorizado se decide implementarlo en el ELITRIIP, como HUPIGON...


[quote]
[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 20-4-2009

[Link64]

oye descarg[b][i]ué[/i][/b] el ELISTARA y el ELITRIIP pero cuando los abro aparece esta ventana:



[img]http://i523.photobucket.com/albums/w353/Link20064/info.jpg[/img]



y no[b][i] sé que [/i][/b] pasa reinicio la computadora y no aparece el C:\infosat.txt como dices

[msc hotline sat]

Sí, anomalias en la web (que está de cambios) no dejaron ayer subir bien las utilidades, segun acabo de comprobar.



Tan pronto llegue a SATINFO (en 2 o 3 horas) las subiré de nuevo.



Descargalas entonces de nuevo.



saludos



ms, 21-4-2009

ref MX/Ac+16.85-99.91





NOTA: Visto de donde eres, ahora estarás durmiendo , asi que, cuando despiertes, la descargas de nuevo que ya estará cambiada. Tras probarla, se creará dicho c:\infosat.txt que te pedimos postees, ms.

[msc hotline sat]

Lo acabo de corregir



Prueba descargarla de nuevo y tras probarla recuerda postear el contenido de c:\infosat.txt, gracias



saludos



ms, 21-4-2009

[Link64]

bueno aqui esta el reporte:
[code](21-4-2009 21:50:16)
EliTriIP v5.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Abril del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

(21-4-2009 21:50:25)
EliTriIP v5.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Abril del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Documents and Settings\Administrador.DESKTOP\Mis documentos\035.exe --> Eliminado, Hupigon.FVEM

Nº Total de Directorios: 13844
Nº Total de Ficheros: 109941
Nº de Ficheros Analizados: 24481
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
[/code]

[msc hotline sat]

Bien, pues ya está controlado:



C:\Documents and Settings\Administrador.DESKTOP\Mis documentos\035.exe --> Eliminado, Hupigon.FVEM





pero si bien con el SPROCES VEIAMOS:


[quote]SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.[/quote]

Ahora el ELITRIIP NOS DICE: [b][i] No detectado SP3 de Windows XP[/i][/b]



Siendo la misma etiqueta la que vamos a leer ... ???



No habrás restaurado a un punto anterior entre ambos procesos ???



Aclaranoslo, gracias



saludos



ms, 22-4-2009

[jmontalvo1]

Tengo ( o tal vez tenia) esta misma anomalía, entre otras cosas extrañas, cuando entro en modo a prueba de fallos el inicio se demora y finalmente me muestra un mensaje de error que dice que ha encontrado un problema de EXPLORER.exe y debe cerrarse, debo cerrar la sesión de usuario y volverla a iniciar para que funcione. En el modo normal no me deja ejecutar programas, cuando intente instalar malwarebytes dice que hay un proble para registrar un .ocx y falla la instalacion

Ya ejecute estos dos programas y acá están los resultados:





(27-4-2009 11:34:06)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "NPF"

Eliminado Servicio, "SCardSvr"



(27-4-2009 11:34:24)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\eMule\Incoming\cracks de programas.exe --> Eliminado, Hupigon.FVEM

C:\Archivos de programa\eMule\Incoming\gana dinero facil.exe --> Eliminado, Hupigon.FVEM

C:\Archivos de programa\eMule\Incoming\hackear hotmail msn.exe --> Eliminado, Hupigon.FVEM

C:\Archivos de programa\eMule\Incoming\sub7 troyano privado.exe --> Eliminado, Hupigon.FVEM

C:\Archivos de programa\eMule\Incoming\video xxx erotic.exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\Archivos temporales de Internet\Content.IE5\VUDSI0LV\wowc[1].exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\temp\438.exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\temp\499.exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\temp\668.exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\temp\795.exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\temp\927.exe --> Eliminado, Hupigon.FVEM

C:\Downloads\SJphone-PPC2003-303c.exe --> Eliminado, FireDaemon(dr)

C:\Downloads\SJphone-PPC2003SE-303c.exe --> Eliminado, FireDaemon(dr)



Nº Total de Directorios: 7962

Nº Total de Ficheros: 103064

Nº de Ficheros Analizados: 20710

Nº de Ficheros Infectados: 13

Nº de Ficheros Limpiados: 13



(27-4-2009 11:43:01)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 1211

Nº Total de Ficheros: 28186

Nº de Ficheros Analizados: 2012

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-4-2009 11:44:06)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\UNINSTALL.EXE.Muestra EliStartPage v18.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\UNINSTALL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\GUARD32.DLL.Muestra EliStartPage v18.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GUARD32.DLL --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(27-4-2009 11:44:50)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Diskeeper Corporation\Diskeeper\PARCHE ESPAñOL DK PRO 9.0.524.EXE --> Eliminado, WebHancer(inst)

C:\Archivos de programa\eMule\Incoming\Corel Draw Gallery 205000 Clipart Cd 1-8\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)



Nº Total de Directorios: 7964

Nº Total de Ficheros: 103012

Nº de Ficheros Analizados: 23656

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(27-4-2009 11:58:48)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-4-2009 11:58:56)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7963

Nº Total de Ficheros: 102989

Nº de Ficheros Analizados: 23652

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-4-2009 12:08:17)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(27-4-2009 12:08:20)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7963

Nº Total de Ficheros: 102993

Nº de Ficheros Analizados: 20690

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[jmontalvo1]

Al reiniciar la maquina en modo normal sigo sin poder navegar en ningun explorador ( Firefox, safari, opera, Chrome, Explorer)

Pero el gtalk si conecta y si hago ping a www.yahoo.com obtengo respuesta sin perdidas.

Tampoco puedo ejecutar programas como el malwarebytes, me dice que hubo un runtime error, que no pudo registrar algo y saca un error en un archivo .ocx



Alguna sugerencia?

[msc hotline sat]

Pues mejor que abras un Tema para tu problema, jmontalvo1, ya que parece no ser lo mismo...



Descarga el ELIBAGLA y tras probarlo nos posteas el resultado en el nuevo Tema, gracias




[quote="msc"]
[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 27-4-2009





NOTA: Y Nos enviaste los ficheros que te pediamos ???



Por favor, envienos una muestra del fichero

C:\Muestras\UNINSTALL.EXE.Muestra EliStartPage v18.48



Por favor, envienos una muestra del fichero

C:\Muestras\GUARD32.DLL.Muestra EliStartPage v18.48


[quote="msc"][b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos[/quote]

[Link64]

ya regrese a mi compu =P lo siento por la espera pero con eso de la influenza humana porcina y todo eso pues ya regrese ami casa con el virus pues ya no esta y lo q dijiste :No detectado SP3 de Windows XP no c ni papa xD soy novato eso si tengo un problema de repende cuando quiero bajar algo de rapidshare me dice Your IP address 189.220.220.143 is already downloading a file. Please wait until the download is completed.

y en mi compu dice q mi ip es: 192.168.0.11 :(



[b][i]a ver[/i][/b] si me pueden ayudar :wink:



saludos :D

[msc hotline sat]

Las IP son correctas , la 189.220.220.143 es la de Internet y la otra 192.168.0.11 es la de Intranet, la de tu red privada.



Y si lanzando un windowsupdate no te encuentra a faltar ningun parche, ningun problema, y en el caso que encuentre a faltar alguno, instalalo



Por nuestra parte, visto que el ELISTARA ya controla y elimina los malwares que tenías, damos por solucionado el Tema y procedenmos a cerrarlo



Saludos



ms, 8-5-2009





NOTA : Y MUCHO CUIDADO CON EL OTRO VIRUS DE LA INFLUENZA !!! :?