Win32/Olmarik.GC - Imposible instalar HJT - NOD32 no elimina de la memoria

[ascii]

Cuando abro el Nod me detecta en la memoria el troyano que puse en el título. Dice que no puede escanear el MBR. Escaneé el sistema y detectó virus varios en Archivos temporales de internet, asi que desde modo a prueba de fallos borre todo eso con el CCleaner. En el log del Nod aparece que el 25 de abril estaba infectado winhlp.dll con el virus WIn32/TrojanDownloader.Agent.ONH

No puedo instalar ni el HijackThis, ni el Malwarebytes' Anti-Malware, ni el Avira AntiVir.

Puedo entrar al regedit, msconfig, command y failsafe.

Un programa "Sin espias" me detectó tres virus, pero no sirve para eliminarlos:

Dialer-368, GDialer y otro que ahora no me acuerdo el nombre.



Agradezco ayuda.



Rodrigo



Edit: Olvidé decir que a veces, al iniciar el IE, estando conectado a internet, la PC crashea y es necesario reiniciarla desde el botón.

[flacoroo]

haz lo siguiente, ejecuta estos programas y despues nos pegas el resultado creado en C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]elistara[/url]

[url=http://www.zonavirus.com/descargas/elinotifdll.asp]elinotiff[/url](complemento de elistara no se ejecuta)

[msc hotline sat]

Posiblemente se trata de un ONLINE GAMES: http://www.threatexpert.com/files/winhlp.dll.html



Si el ELISTARA no lo detectara, ENVIANOS MUESTRA DE ESTE FICHERO PARA ANALIZAR:



winhlp.dll (SI NO SABES DONDE ESTÁ, LO ENCONTRARÁS CON UN iNICIO -> bUSCAR)



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlo, lo analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 3-5-2009

[ascii]

Yo el EliStarA ya lo había corrido ayer (sin el elinotiff), y este eliminó algunas cosas, pero al virus al que me refiero no le hizo nada.

Hoy lo intenté correr el EliStarA desde el modo normal y se quedó en eliminando archivos temporales. Luego empecé a mover el mouse y quise abrir el Nod y la máquina se colgó. Luego lo corri en modo a prueba de fallos. (con el elinotiff en el mismo directorio que el elistara)

Debajo incluyo el log infosat.txt:



(2-5-2009 19:04:28)

EliStartPage v18.52 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek



(2-5-2009 19:07:13)

EliStartPage v18.52 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{180B4EE9-1795-4429-9651-F17A6515726D}" -> C:\Archivos de programa\MailSkinner\OLSkinner.dll

Eliminada Class, "{204F937E-519E-4597-96FA-8F1F59F3CB6D}" -> NULL1

Eliminada Class, "{647B8364-79E0-48E2-A4CA-233ABADA0C2D}" -> C:\Archivos de programa\Error Safe Free\ESSPChck.dll

Eliminada Class, "{74CC49F7-EB32-4A08-B204-948962A6E3DB}" -> NULL1

Eliminada Carpeta "%Application Data%\HbTools"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-5-2009 19:08:10)

EliStartPage v18.52 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\Downloaded Program Files\HBTOOLS.INF --> Eliminado, HotBar(inf)

C:\WINDOWS\Downloaded Program Files\IALDR32.INF --> Eliminado, Dialer-InstantAccess(inf)



(2-5-2009 19:46:35)

EliStartPage v18.52 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{180B4EE9-1795-4429-9651-F17A6515726D}" -> C:\Archivos de programa\MailSkinner\OLSkinner.dll

Eliminada Class, "{204F937E-519E-4597-96FA-8F1F59F3CB6D}" -> NULL1

Eliminada Class, "{647B8364-79E0-48E2-A4CA-233ABADA0C2D}" -> C:\Archivos de programa\Error Safe Free\ESSPChck.dll

Eliminada Class, "{74CC49F7-EB32-4A08-B204-948962A6E3DB}" -> NULL1

Eliminado Servicio, "mchInjDrv"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-5-2009 19:46:54)

EliStartPage v18.52 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3427

Nº Total de Ficheros: 34516

Nº de Ficheros Analizados: 12752

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-5-2009 19:05:27)

EliStartPage v18.52 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE



(3-5-2009 19:05:44)

EliStartPage v18.52 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3427

Nº Total de Ficheros: 34530

Nº de Ficheros Analizados: 12754

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Ya que no detecta a winhlp.dll procederé a enviarlo.

[msc hotline sat]

Y lance un windowsupdate e instale parches pendiente !!! :


[quote]No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/quote]

saludos



ms, 3-5-2009

[ascii]

[quote="msc hotline sat"]Y lance un windowsupdate e instale parches pendiente !!! [/quote]

¿Eso solo hago? No sé si podré hacerlo, voy a intentar.

[lucl]

Muy sencillo ve a inicio.........todos los programas........windows update, y te lo hace automatico nos comentas resultados saludos

[ascii]

Después de reiterados reinicios tras cuelgue al abrir el IE, logré instalar el software nuevo para el Windows Update. Pero esto fue inútil ya que la computadora se queda en "Buscando actualizaciones más recientes para el equipo"

En inicio no está Windows Update. Y desde panel de control tampoco anda.



¿Qué puedo hacer ahora?

[msc hotline sat]

En un par de horas empezamos a trabajar en SATINFO, y si nos has enviado la muestra, como decias, la analizaremos e implementaremos su control y eliminacion , si procede, en nuestras utiliaddes, de lo cual informaremos.



Si quieres, mientras, puedes lanzar este AV ONLINE y postearnos el infome resultante, por si huboera mas cosas:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 4-5-2009

[msc hotline sat]

Recibida la muestra pedida, efectivamente, en el preanalisis del VirusTotal es detectado como Trojan Downloader:


[quote="VirusTotal"]
File winhlp.dll received on 05.04.2009 09:35:43 (CET)

Current status: finished



Result: 26/40 (65.00%)

Compact Print results

Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.05.04 Trojan-Downloader.Small!IK

AhnLab-V3 5.0.0.2 2009.05.03 Win-Trojan/Downloader.26112.EZ

AntiVir 7.9.0.160 2009.05.04 TR/Dldr.Small.ees

Antiy-AVL 2.0.3.1 2009.04.30 -

Authentium 5.1.2.4 2009.05.03 -

Avast 4.8.1335.0 2009.05.03 Win32:Trojan-gen {Other}

AVG 8.5.0.327 2009.05.03 Downloader.Generic8.EVU

BitDefender 7.2 2009.05.04 Trojan.Generic.1360643

CAT-QuickHeal 10.00 2009.05.04 Trojan.Agent.ATV

ClamAV 0.94.1 2009.05.04 -

Comodo 1149 2009.05.03 Unclassified Malware

DrWeb 4.44.0.09170 2009.05.04 Trojan.DownLoad.28867

eSafe 7.0.17.0 2009.05.03 -

eTrust-Vet 31.6.6487 2009.05.02 -

F-Prot 4.4.4.56 2009.05.03 -

F-Secure 8.0.14470.0 2009.05.04 W32/Downloader

Fortinet 3.117.0.0 2009.05.04 -

GData 19 2009.05.04 Trojan.Generic.1360643

Ikarus T3.1.1.49.0 2009.05.04 Trojan-Downloader.Small

K7AntiVirus 7.10.722 2009.05.02 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.05.04 -

McAfee 5604 2009.05.03 Generic Downloader.x

McAfee+Artemis 5604 2009.05.03 Generic Downloader.x

McAfee-GW-Edition 6.7.6 2009.05.04 Trojan.Dldr.Small.ees

Microsoft 1.4602 2009.05.04 -

NOD32 4050 2009.05.03 Win32/TrojanDownloader.Agent.ONH

Norman 6.01.05 2009.04.30 W32/Downloader.SCN

nProtect 2009.1.8.0 2009.05.04 Trojan/W32.Agent.26112.AK

Panda 10.0.0.14 2009.05.03 Trj/Downloader.VDY

PCTools 4.4.2.0 2009.05.03 -

Prevx1 3.0 2009.05.04 -

Rising 21.28.00.00 2009.05.04 Trojan.DL.Win32.Undef.drn

Sophos 4.41.0 2009.05.04 Mal/Proxy-B

Sunbelt 3.2.1858.2 2009.05.03 Trojan.1

Symantec 1.4.4.12 2009.05.04 Downloader

TheHacker 6.3.4.1.318 2009.05.03 -

TrendMicro 8.950.0.1092 2009.05.04 TROJ_DLOADER.HZZ

VBA32 3.12.10.4 2009.05.04 -

ViRobot 2009.5.4.1718 2009.05.04 Trojan.Win32.Downloader.26112.CH

VirusBuster 4.6.5.0 2009.05.03 -

Additional information

Tamano archivo: 26112 bytes

MD5...: ca78307245d1d79a8b902941c075848f

SHA1..: 3a6610e8a7bedec3ffe9ffcc2857e75ef1132edf [/quote]

Lo entraremos a monitorizacion y seguiremos informando.







Comprobado que el ELISTARA actual 18.52, posiblemente lo implementaremos en la version de hoy, 18.53 , de lo cual informaremos



saludos



ms, 4-5-2009

[julibaga]

Y para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

Por si tienes algo más.

[ascii]

Está pasándose el Kaspersky. Aca envío el log del SPorcess:



(4-5-2009 15:18:54)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: KELLER

Nombre Usuario: Oscar



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\LEXBCES.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\LEXPPS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\AGI\COMMON\WIN32\PYTHONSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\DOCUMENTS AND SETTINGS\OSCAR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Archivos de programa\AGI\common\agcutils.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Archivos de programa\AGI\common\agcutils.dll

O2 - BHO: Kiwee Toolbar - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - C:\Archivos de programa\Kiwee Toolbar\2.8.167\KiweeIEToolbar.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Kiwee Toolbar - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - C:\Archivos de programa\Kiwee Toolbar\2.8.167\KiweeIEToolbar.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab

O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab

O16 - DPF: {0D1011B3-89C8-4F8E-8693-BB970E2E81E0} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1069_ASPIV4_XP.cab

O16 - DPF: {0DA910BC-6919-489E-B584-D9A4AAC7B8DE} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1068_ASPIV4_XP.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1CD4E2DC-2DA0-4154-8723-38CB04FB6A58} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1062_XP.cab

O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} - http://us2-scripts.dlv4.com/binaries/egaccess4/egaccess4_1071_em_XP.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab

O16 - DPF: {3616F4B5-F6AD-4E67-966A-C218673648A0} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1070_ASPIV4_XP.cab

O16 - DPF: {3DAD912E-D2B9-4323-B7C9-7F2C5CC0C57B} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1070_XP.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab

O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1068_em_XP.cab

O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241380999609

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241380987718

O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_ES_XP.cab

O16 - DPF: {87C1805D-C5AE-4455-AB39-E245BB516136} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1059_XP.cab

O16 - DPF: {8D8BAF56-B581-4B90-A549-C4AC6B03F1BB} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1074_XP.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {95460ABD-946A-46FF-9F56-268718323EEE} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1068_XP.cab

O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} - http://scripts.dlv4.com/binaries/IA/sysia32svc_ES_XP.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38090.3802662037

O16 - DPF: {A1C392A2-B274-46DB-89BE-1FBD476B9C93} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1065_XP.cab

O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab

O16 - DPF: {AF7410C1-FBA3-415E-800A-4110CED40536} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1060_XP.cab

O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_ES_XP.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BA749BC1-143E-430D-B1DA-1D2AF67A3658} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1069_XP.cab

O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab

O16 - DPF: {C2481ED1-9896-4D49-AE90-69858DFDE446} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1073_XP.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_ES_XP.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://us2-scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab

O16 - DPF: {E114CD5B-17CE-4807-890E-7B1EDF9F2E5E} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1066_XP.cab

O16 - DPF: {E1D20694-74D9-472D-AF03-08C26173A67F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1063_em_XP.cab

O16 - DPF: {E24E8472-89B7-479F-8AD8-BBD7206A6A02} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1067_XP.cab

O16 - DPF: {E7AE1661-EBEB-492B-AE0D-860DF24174C6} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_ASPIV4_XP.cab

O16 - DPF: {EC4AFBF3-4540-4306-AF10-4CAC509EA16B} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1074_ASPIV4_XP.cab

O16 - DPF: {EF4DCD99-D26B-44A4-BA77-CFDCC97E7291} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1062_XP.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O16 - DPF: {FA605711-8E72-46B2-AE49-BED11B2E729D} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab

O16 - DPF: {FA83E942-B796-46DE-9155-1632ECC5473B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1061_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7A4EC755-3549-4E3D-814F-C2D0EAABACBD}: NameServer = 200.51.212.7,200.51.211.7

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\MSERO.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AG Windows Service (AGWinService) - Unknown owner - C:\Archivos de programa\AGI\common\win32\PythonService.exe

O23 - Service: AMON - Eset - C:\WINDOWS\System32\drivers\amon.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS) (alcan5ln) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcan5ln.sys

O23 - Service: SpeedTouch ADSL Modem ATM Transport (alcaudsl) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcaudsl.sys

O23 - Service: NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller (AtcL002) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\l251x86.sys

O23 - Service: VideoCAM Express V2 (CA561) - SP - C:\WINDOWS\SYSTEM32\Drivers\SPCA561.SYS

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys (file missing)

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: IntelC51 - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\IntelC51.sys

O23 - Service: Intel(R) 537 Data Fax Voice V.92 Modem (IntelC52) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\IntelC52.sys

O23 - Service: IntelC53 - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\IntelC53.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



26 Servicios.

6 de Carga Automatica.

19 de Carga Manual.

1 Deshabilitados.

[ascii]

Acá mando el reporte del Kaspersky.. detectó un montón de cosas más.



KASPERSKY ONLINE SCANNER 7 REPORT

Tuesday, May 5, 2009

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Monday, May 04, 2009 15:40:35

Records in database: 2129283

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

A:\

C:\

D:\

Scan statistics

Files scanned 36875

Threat name 3

Infected objects 7

Suspicious objects 0

Duration of the scan 00:39:55



File name Threat name Threats count

C:\WINDOWS\system32\cxlhqzg.exe Infected: not-a-virus:AdWare.Win32.NaviPromo.gen 1

C:\WINDOWS\system32\dtzqpljiek.exe Infected: not-a-virus:AdWare.Win32.NaviPromo.gen 1

C:\WINDOWS\system32\ecwadun.exe Infected: not-a-virus:AdWare.Win32.NaviPromo.gen 1

C:\WINDOWS\system32\nsinet.exe Infected: not-a-virus:Porn-Dialer.Win32.InstantAccess.dcm 1

C:\WINDOWS\system32\yrrinbic.exe Infected: not-a-virus:AdWare.Win32.180Solutions.ay 3

The selected area was scanned.

[msc hotline sat]

Pues envianos estos ficheros para analizar e implementar su control en el ELISTARA:



C:\WINDOWS\system32\cxlhqzg.exe

C:\WINDOWS\system32\dtzqpljiek.exe

C:\WINDOWS\system32\ecwadun.exe

C:\WINDOWS\system32\nsinet.exe

C:\WINDOWS\system32\yrrinbic.exe







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-5-2009







NOTA: y del log vemos que faltan parches, lanza un windowsupdate e instala el SP3 y posteriores, como el MS08-067 tan importante para evitar la entrada del conficker !!!



y elimina esta clave: O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

[ascii]

Muestras enviadas.

El WindowsUpdate no lo puedo hacer correctamente, supongo que tras eliminar el virus podré.

Ya eliminé la clave, no sé si el programa no volverá a crearla.

[msc hotline sat]

Cuando nos hayas enviado los ficheros indicados, implementaremos su control y eliminacion, si procede, en el siguiente ELISTARA...



saludos



ms, 5-5-2009

[ascii]

[quote="ascii"]Muestras enviadas.[/quote]
[quote="msc hotline sat"]Cuando nos hayas enviado los ficheros indicados, implementaremos su control y eliminacion, si procede, en el siguiente ELISTARA...



saludos



ms, 5-5-2009[/quote]

Ya los envié. No sé si llegó correctamente el zip.

[msc hotline sat]

Mañana, cuando volvamosm al trabajo en SATINFO, lo veremos



Aqui ya son mas de las 19 h ...



saludos



ms, 5-5-2009

ref AR/BA-34.93-57.95

[msc hotline sat]

Mientras puedes añadir .VIR a la extension de dchos ficheros y,tras reiniciar, ya no entrarán en uso, con lo que ya no incordiarán, a ver si asi puedes actualizar :wink:



saludos



ms, 5-5-2009

[ascii]

Le cambié la estensión a .vir a todos los archivos que les envié, incluyendo winhlp.dll

Sin embargo el Nod sigue detectando al Olmarik.GC en la memoria, por lo que estimo que ninguno de estos archivos que mandé son este virus. Creo que a causa de esto es que cada vez que lanzo WindowsUpdate, tanto antes como después de conectarme a Internet, la computadora se congela.

Estuve revisando los programas instalados y había un montón de esos juegos de dudosa procedencia. Pude eliminar todos los que aparecían en los programas instalados, y supongo que se borraron, aunque hayan quedado todos los accesos directos tanto en inicio como en el escritorio.

Sin embargo hubo un par de cosas que no pude eliminar. Un tal "Kiwee toolbar", al apretar "Quitar", el botón queda apretaro y por un rato la ventana queda tildada, luego todo sigue igual. Eso pasa también en modo a prueba de fallos. Comprimí todos los archivos de este programa que aparecían en "Archivos de programa" y luego los eliminé, sin que me dijera que ninguno se estaba usando.

El otro programa es "Favorit" que no aparecía ni con tamaño siquiera. Este me tildó la máquina en modo normal, y en modo a prueba de fallos tras mostrarme dos o tres veces un mensaje que decía "Se debe estar conectado a internet para eliminar este programa" desapareció de la lista.

En la PC también están "Incredigames" y "JewelQuest". Ninguno de estos dos aparece en "Agregar o quitar programas".



Espero que esta información sirva de algo.



Un saludo,

Rodrigo

[msc hotline sat]

Me consta que ayer entraron ficheros tuyos en monitorizacion, pero no recuerdo si terminaron el proceso, o están en ello...



Cuando entremos hoy a trabajar lo preguntaré y ya te informaré al respecto



De todas formas, prueba la nueva version 18.55 del ELISTARA que subimos ayer noche y nos posteas el informe resultante, gracias



saludos



ms, 7-5-2009

[msc hotline sat]

Pues informandome sobre el particular, si bien está a medio procesar, con el ELISTARA 18.55 de ayer, ya se implementó la eliminación de 3 NAVIPROMOS que había y 1 Dropper.NSInet y 1 dropper HOTBAR, que es el que está en proceso, pendiente de la eliminacion de los restos de las claves que lo lanzan, que al ser sobre ficheros de nombre aleatorios, quedan en el registro.



De todas formas prueba el ELISTARA actual y dinos si tras ello y reiniciar persiste alguna anomalia (y posteanos el c:\infosat.txt resultante, claro)



saludos



ms, 7-5-2009

[ascii]

Como se ve en el log, todos los archivos que borró ya habían sido "neutralizados" cambiándoles la extensión, o estaban en la papelera de reciclaje. Por lo tanto nada cambió. Sigue estando este Olmarik.GC en la memoria.

¿Qué puedo hacer ahora?





(7-5-2009 15:18:07)

EliStartPage v18.55 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(7-5-2009 15:18:14)

EliStartPage v18.55 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\RECYCLER\S-1-5-21-823518204-1343024091-839522115-1003\DC4.DLL --> Eliminado, DownLoader.VDY

C:\WINDOWS\system32\CXLHQZG.EXE.VIR --> Eliminado, NaviPromo(dr)

C:\WINDOWS\system32\DTZQPLJIEK.EXE.VIR --> Eliminado, NaviPromo(dr)

C:\WINDOWS\system32\ECWADUN.EXE.VIR --> Eliminado, NaviPromo(dr)

C:\WINDOWS\system32\NSINET.EXE.VIR --> Eliminado, Dropper.NSInet

C:\WINDOWS\system32\WINHLP.DLL.VIR --> Eliminado, DownLoader.VDY

C:\WINDOWS\system32\YRRINBIC.EXE.VIR --> Eliminado, Hotbar(dr)



Nº Total de Directorios: 3503

Nº Total de Ficheros: 35714

Nº de Ficheros Analizados: 12912

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7

[ascii]

Bot?



Hola, de paso aprovecho para preguntar que hacer.

[msc hotline sat]

Pues ya ves:



[b][i]No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]



Lanza un windowsupdate e instala los parches que encuentre a faltar, SP3 y posteriores !!!



Y tras reiniciar, dinos si persiste alguna anomalia o podemos dar por solucionado el Tema, gracias.



saludos



ms, 11-5-2009

[ascii]

Reitero que es imposible ejecutar Windows Update ya que se congela el sistema al intentar abrirlo. El virus Olmarik.GC sigue siendo detectado en la memoria.

Ya que el Nod32 dice que no puede leer el MBR, se me ocurre que se puede estar cargando desde ahí, asi que voy a probar restaurandolo desde la consola de reparaciones del disco de instalación de Windows.

[msc hotline sat]

Muy bien ! Veo que mereces nota :mrgreen:



Yo no podría haberte sugerido nada mejor, si es que tienes un virus de MBR...



Ya nos contarás el final de la pelicula, gracias



saludos



ms, 11-5-2009

[ascii]

Tras restaurar el MBR el problema persistió. Intenté leer el MBR y hacer un backup con otro programa desde Windows y al igual que con el Nod, no pude leerlo.

También cargué en un diskette el ntldr, boot.ini, ntdetect.com y lo hice booteable. Bootee la máquina desde ahí para saltear el MBR del HD, pero todo siguió igual.

Arranqué la PC con un liveCD de Ubuntu e hice con el dd una copia del MBR. No sé si servirá de algo que se los mande. Yo la verdad que no sé que hacer con eso.

[msc hotline sat]

Si arrancando con el CD de instalacion, accediste a la consola de recuperacion y ejecutaste un FIXMBR, el codigo de dicho sector ha sido sobreescrito, asi que nada que ver en dicho sector.



Otra cosa es que no arrancaras desde dicho CD. Si no lo hiciste asi, repite la operacion, pero arrancando con él.



saludos



ms, 12-5-2009

[ascii]

Lo hice. Pero como todo siguió igual intuyo que el virus se ha instalado nuevamente allí. Por eso pregunto.