Espero no sea nada

[chrisden33]

Bueno, resulta que como siempre hago un scan con antivirus local y con uno online cada cierto tiempo, solo por seguridad, ahora chequeando los archivos en mi maquina me parecio raro ver una carpeta extraña en "C:\Documents and settings\", aparte de las normales (All Users, "Nombre de Usuario" y las carpetas ocultas(Defaiult User, LocalService y NetworkService)), aparecio una carpeta con un nombre raro (lastimosamente lo elimine) ya alguna vez me sucedio (la otra ocasion no fue sencillo no bastaba con darle Delete sino que tuve que entrar al Panel de control y Cuentas de usuario y recien eliminarlo como administrador), ahora encontre un archivo llamado "QBGCLODS.EXE" que no se lo que es y en internet no encontre nada al respecto, les dejo el log de HijackThis para chequeo:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:08:32, on 07/01/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16945)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Google\Update\1.2.183.13\GoogleCrashHandler.exe

d:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe

d:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\PV92Tray.exe

C:\WINDOWS\VM_STI.EXE

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\Archivos de programa\Google\Quick Search Box\GoogleQuickSearchBox.exe

D:\Archivos de programa\Unlocker\UnlockerAssistant.exe

D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

D:\Archivos de programa\Internet Download Manager\IDMan.exe

D:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

D:\Archivos de programa\uTorrent\uTorrent.exe

D:\Archivos de programa\Internet Download Manager\IEMonitor.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\totalcmd\TOTALCMD.EXE

D:\Archivos de programa\Mozilla Firefox\firefox.exe

E:\Instaladores\Antivirus Tool\EliStarA.exe

D:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.google.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Archivos de programa\Internet Download Manager\IDMIECC.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [BigDog302] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0302)

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Archivos de programa\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [IDMan] D:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "d:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon

O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Descargar con IDM - D:\Archivos de programa\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Descargar con IDM el contenido de video FLV - D:\Archivos de programa\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Descargar con IDM todos los enlaces - D:\Archivos de programa\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O20 - AppInit_DLLs: acaptuser32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - d:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - d:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe



--

End of file - 11755 bytes

[msc hotline sat]

Nada aparentemente anormal en el log.



Envienos para analizar el fichero que indica: "QBGCLODS.EXE" ya que no hay datos de él en internet, posiblemente sea un nombre aleatorio creado por algun malware desconocido.





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo, lo analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 8-1-2010





NOTA: y para otra vez, recuerde: https://foros.zonavirus.com/viewtopic.php?f=13&t=29543

[chrisden33]

ya mande la muestra, tambien adjunto el prograra rootkitrevealer, que creo es el que lo genera, lo raro es que la primera vez que lo utilice (ya hace tiempo) era muy rapido, ahora como que lo lentea mucho la maquina, espero les sirva.

[msc hotline sat]

Pues el lunes, cuando volvamos al trabajo en SATINFO, los analizaremos e implementaremos su control y eliminacion, si procede, en la siguiente version del ELISTARA, con la que podrá eliminarlos totalmente.



Mientras, añada .VIR a la extension de dichos ficheros, para que estén "aparcados" y no se pongan en uso a partir del proximo reinicio



saludos



ms, 9-1-2010

[msc hotline sat]

Solo se le pedia el fichero "QBGCLODS.EXE" que no vemos que nos haya enviado.



Lo demás, o son prefetch que no sirven para monitorizar o utilidades de deteccion de rootkits o temporales, lo cual no pedimos !



Por favor envienos lo solicitado para poder analizarlo



saludos



ms, 11-1-2010

[chrisden33]

Mi error, no explique.

Imagino que ese qbgclods.exe se creo como el archivo adjuntado, porque ahora que lo busque no hay nada de dicho archivo.

Ahora me tope con un problema de tipo fisico (eso imagino) la pc se me comporta a ratos lento, ejem: estoy escuchando musica (winamp) y cuando abro algun programa ( de preferencia el mozilla firefox) la musica se lentea como si le bajaran la velocidad (hay puntos como si se sobresaturara la memoria y se detiene y luego vuelve, aunque es con casi cualquier programa que este intslado en una particion de mi disco esclavo, y cuando encendia la pc tarda demasiado y entraba a lo que era el chkdsk y revisaba la particion G:\, hice un scaneo con el TuneUp y me decia que habia que reiniciar y chequear la particion K:\ lo que me parecia raro, al reiniciar reviso la particion K: y luego reviso las particiones G: y la C:\, parecia reuelto el problema pero al encender o reiniciar seguia tardando y me chequeaba la particion G: en cada ocasion, opte por formatear dicha partición ahora solo tarda al momento iniciar la maquina pero tya no hace la revision el chkdsk de ninguna partición, espero no sea problema del disco duro ya que seria muy dificil encontrar un disco IDE o Sata1 a estas alturas del tiempo cuando solo hay Sata2 o talvez mejores.

[msc hotline sat]

Pues celebramos que lo haya ido solucionando con lo que indica, y esperamos que no sea problema del disco duro, o ya sabe ...



Puede lanzar una comprobacion de errores y desfragmentar para ver si asi acelera en lo posible el arranque:



MiPc -> Boton derecho sobre unidad C: -> Propiedades -> Herramientas -> Comprobacion de errores & Desfragmentacion.



Y con ello damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 12-1-2010