Virus abre ventana Java y genera un archivo Random Seed (SOLUCIONADO)

[dabol]

Saludos a todos...



La pc se ha puesto lenta cuando abro varias ventanas de Internet Explorer. He intentado pasar el Avast pero se trunca la exploración.



Me sucede igual con el Elistara. Intenté pasarle también el antivirus on line Bitdefender pero se truncó.



Y cuando intento abrir algunas webs, aparece una ventana como iniciando un software de Java... el Avast detecta un malware y luego en mi escritorio aparece archivos Random Seed de extensión EXE.



Si pudieran explicarme qué son esos EXE que aparecen y cómo solucionar este problema.



Me sucedió dos veces esta tarde, fueron dos archivos generados; uno se llama 0.2525047262303458.exe y el otro 0.18403579910452328.exe aunque salen como creados por Microsoft Corporation



Les agradezco de antemano...

[lucl]

Arranca el pc en modo seguro e intenta pasar de nuevo el elistara. Luego nos pegas el log que te dejara en C infosat.txt. Te dejo link de como arrancar en dicho modo por si acaso, saludos.



https://foros.zonavirus.com/viewtopic.php?f=5&t=5266

[dabol]

Hola de nuevo...



Hice una actualización que me aconsejaba realizar un analisis previo del Elistara hace unos dias, era la llamada SSERVIDOR MS08-067



Este fué el primer Infosat que arrojó hace unos días:



(15-6-2011 21:20:53 (GMT))

EliStartPage v23.43 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Junio del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-1003



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\USERINI.EXE.Muestra EliStartPage v23.43

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\USERINI.EXE --> Eliminado

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKUS\S-1-5-21-602162358-436374069-1417001333-1003\...\Run] "userini"="C:\WINDOWS\system32\userini.exe"

Entrada Eliminada [HKLM\...\Run] "userini"="C:\WINDOWS\system32\userini.exe"

Entrada Eliminada [HKUS\S-1-5-21-602162358-436374069-1417001333-1003\...\Policies\Explorer\Run] "userini"="C:\WINDOWS\system32\userini.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "userini"="C:\WINDOWS\system32\userini.exe"

Detectado HOSTS no Standar.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

----------------------------------------------



Luego intenté pasar el Elistara tres veces pero siempre se congelaba en el archivo setvjcij.sys en la carpeta C:\WINDOWS\system32\drivers



Busqué información de este archivo en la web y no encontré nada



Intenté buscarlo con el explorador pero no aparecía, incluso dandole mostrar archivos ocultos. Tuve que reiniciar la pc para poder cerrar el Elistara por que no respondía.



Ayer pude eliminar de forma normal en archivo 0.18403579910452328.exe



El avast me avisaba de una url maliciosa. Incluso hoy antes de iniciar en Modo Seguro aparecio la ventana del avast previniendome de la url maliciosa.



Hice lo que me aconsejaron, este es el Info:



(8-7-2011 00:37:56 (GMT))

EliStartPage v23.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7729

Nº Total de Ficheros: 117728

Nº de Ficheros Analizados: 18645

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-7-2011 00:38:18 (GMT))

EliStartPage v23.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 85

Nº Total de Ficheros: 967

Nº de Ficheros Analizados: 42

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

------------------------------------



Luego de pasar el Elistara y reiniciar en modo "normal" pude eliminar el archivo 0.2525047262303458.exe sin problemas. El análisis terminó sin pausas y el archivo setvjcij.sys no causó problemas como las veces anteriores.



Parece que no hay nada pero si me dan más consejos se los agradecería.



Saludos...

[msc hotline sat]

Pues vemos que el infosat.txt dice:



[i][b]Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\USERINI.EXE.Muestra EliStartPage v23.43[/b][/i]



Envianoslo para analizar y controlar si procede.





Para ello, recuerda:





>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 8-7-2011

[dabol]

Acabo de enviar la muestra.



Quiero aclarar que este virus lo envié hace unos días a virus@satinfo.es aqui el mail:



__________



Saludos...



Quisera que me ayudaran con este reporte.



Previamente me indica que el HOSTS no es el standard, agradecería que me expliquen qué es esto del o los Hosts standard y como es que supuestamente se ha o han cambiado.



Desactivé hace tiempo las actualizaciones automáticas por comodidad. El "Parche MS08-067 de Microsoft instalado. (SServidor)" ¿qué tan importante es?



Se eliminó un archivo llamado userini.exe asumo que es un virus troyano, si tienen información de como llego a mi pc agradecería me lo indiquen.



El análisis de mi disco D (partición) me pareció demasiado rápida, fue instantanea ¿es posible eso?



Gracias de antemano...

_____________________



Pero como no recibí respuesta decidí abrir este tema.



Aquí en InfoSat adjunto en el mail:





(15-6-2011 21:40:57 (GMT))

EliStartPage v23.43 (c)2010 S.G.H. / Satinfo S.L.



(Actualizado el 15 de Junio del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-1003



Lista de Acciones (por Acción Directa):

Entrada Eliminada



[HKUS\S-1-5-21-602162358-436374069-1417001333-1003\...\Run]



"userini"="C:\WINDOWS\system32\userini.exe"

Entrada Eliminada [HKLM\...\Run]



"userini"="C:\WINDOWS\system32\userini.exe"

Entrada Eliminada



[HKUS\S-1-5-21-602162358-436374069-1417001333-1003\...\Polici



es\Explorer\Run] "userini"="C:\WINDOWS\system32\userini.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run]



"userini"="C:\WINDOWS\system32\userini.exe"

Detectado HOSTS no Standar.

No detectado Parche MS08-067 de Microsoft instalado.



(SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(15-6-2011 21:41:26 (GMT))

EliStartPage v23.43 (c)2010 S.G.H. / Satinfo S.L.



(Actualizado el 15 de Junio del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-1003



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 84

Nº Total de Ficheros: 945

Nº de Ficheros Analizados: 42

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-6-2011 21:41:52 (GMT))

EliStartPage v23.43 (c)2010 S.G.H. / Satinfo S.L.



(Actualizado el 15 de Junio del 2011)

--------------------------------------------------



Saludos...

[msc hotline sat]

Desde el foro las muestras deben enviarse como se indica:


[quote]


>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos


[/quote]

y solo a los asociados a los servicios de SATINFO, para quienes se ofrecen las utilidades (que en este foro se permite probar) se mantiene correspondiencia directamente desde SATINFO, pero los foreros de zonavirus deben hacerlo en el foro y solo enviar las muestras que se pidan, y tal como se pide que se envien desde el foro...



Está claro que este fichero "userini.exe" no era normal, pues el del sistema es USERINIT.EXE , con una T final, y fuera lo que fuiera, el ELISTARA lo aparcó convenientemente.



Sobre el HOSTS no standar, se supone que sabes que desde el HOSTS (sito en C:\windows\system32\sivers\etc\) se direcciona directamente a una IP cualquier URL allí indicada, saltando el paso de resolverla en el servicor de DNS, y ello, si bien lo puede usar el usuario para acceder a webs o a proxys de su interés, tambien lo usan los malwares para llevar al "huerto" y no dejar acceder a sites de antivirus, o llevar a webs phising de paginas bancarias, para robar contraseñas y passwords, etc.



Y las actualizaciones es importante tenerlas programadas que se actualicen automaticamente, sino los fallos que se van corrigiendo y los consecuentes agujeros de seguridad descubiertos, no son arreglados. Por ejemplo este MS08-067 que dices, es el que evita que entre el Conficker a través del Servicio Servidor, y sin ello no hay antivirus que valga para impedir que entre via IP, tu mismo ...



Y lo de la unidad D:, fue rápida porque había muy pocos ficheros:


[quote]Explorando "D:\"



Nº Total de Directorios: 84

Nº Total de Ficheros: 945

Nº de Ficheros Analizados: 42[/quote]

En cualquier caso, este USERINI.EXE sospechoso , fuera lo que fuera, ya está aparcado y no debe incordiar.



Si dices que ahora has enviado la muestra como se indica, el lunes, cuando en SATINFO se vuelva a trabajar, se analizará e informará a través de este foro.



saludos



ms, 10-7-2011

[dabol]

Gracias por la información.



El mail y la muestra del virus lo envié el 16 de junio a Satinfo. Nunca antes había enviado directamente la muestra a Satinfo, siempre usé el foro. Sólo que no me informaron nada hasta la actualidad, simplemente me respondieron lo que cito a continuación:



_________________________________



Gracias por las muestras de ficheros.

Acabamos de subir al área de utilidades de nuestra web, www.satinfo.es, nueva versión mejorada de la herramienta ELISTARA.EXE.

Saludos cordiales

Dpto técnico

SATINFO, S.L.

______________





Pero, al no resolver mis consultas y dudas decidí abrir este tema.



Por cuestiones de tiempo no he analisado con el Avast. Tal vez lo haga en unas horas.



Saludos...

[msc hotline sat]

Corresponde a lo ya indicado.



Mañana veremos las muestras enviadas a través del foro e informaremos en él.



Piensa que SATINFO es una empresa de servicios para sus asociados, aparte de ser mayorista de McAfee, entre otras multinacionales (Spamina, GFI, Clavister, Alphashield, etc) y de ser investigadora y desarrolladora de utilidades como el ELISTARA (entre otras 300) con actualizaciones diarias, para dichos asociados, algunas de las cuales se permiten probar en este foro en concepto de evaluacion, pero no se mantiene correspondiencia con usuarios no asociados a dichos servicios. Y la colaboración con este foro es a nivel personal mia y altruista por mi parte, pero sin ninguna obligación ni responsabilidad alguna al respecto en el mismo. Y no se mantiene correspondiencia en SATINFO con usuarios no asociados a sus servicios.



saludos



ms, 10-7-2011

[msc hotline sat]

Recibida la muestra del USERINI.EXE en cuestion, la pasamos a controlar como SPAM TEDROO, a partir del ELISTARA 23.60 de hoy, segun indicamos en:



http://www.zonavirus.com/noticias/2011/nueva-variante-de-spam-tedroo.asp



Tras descargar dicha version y probarla, posteenos el contenido de C:\infosat.txt, con un copiar y pegar en respuesta de este TEMA, gracias.



saludos



ms, 11-7-2011

[dabol]

Saludos nuevamente...



Al encender la maquina hoy, había un aviso del Avast pidiéndo una actualización del programa. Descargué la actualización y me pidió reiniciar la pc.



Quise bajar la versión reciente del Elistara antes de reiniciar, pero no se podía porque una aplicación llamada Personal Shield Pro se inició y "detectó" virus en la pc, sin embargo al investigar este "programa" en algunas webs supe que era un falso software que busca que el usuario se registre para obtener la verdadera aplicación. Leí algo al respecto en este foro también y que ya esa infección se arreglaba con un Elistara pasado.



Así que descargué la versión reciente del Elistara, cosa que me tomó mucho tiempo porque las ventanas falsas de alerta del software Personal Shield Pro insistían y anunciaban la presencia de "virus" constantemente. Incluso ya descargado el Elistara en forma comprimida me tomó tiempo abrirlo.



Inicié en Modo a prueba de Errores y analisé con el Elistara, pero antes de seleccionar que unidad debía analizar, me apareció un mensaje que hacía referencia a la Eliminación de un Troyano.



He iniciado en Modo Normal y no he tenido problemas.



Pongo a continuación el InfoSat de hoy y envío la muestra pedida.





__________________________

(17-7-2011 13:53:01 (GMT))

EliStartPage v23.62 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Julio del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-1003



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\EI02300JGBLM02300.EXE.Muestra EliStartPage v23.62

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\EI02300JGBLM02300\EI02300JGBLM02300.EXE --> Eliminado

Entrada Eliminada [HKUS\S-1-5-21-602162358-436374069-1417001333-1003\...\RunOnce] "EI02300JGBLM02300"="C:\Documents and Settings\All Users\Datos de programa\eI02300JgBlM02300\eI02300JgBlM02300.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(17-7-2011 13:53:08 (GMT))

EliStartPage v23.62 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(17-7-2011 14:13:01 (GMT))

EliStartPage v23.62 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7746

Nº Total de Ficheros: 118055

Nº de Ficheros Analizados: 18675

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(17-7-2011 14:15:39 (GMT))

EliStartPage v23.62 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 85

Nº Total de Ficheros: 971

Nº de Ficheros Analizados: 42

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

__________________________



Gracias por su ayuda...

[msc hotline sat]

Pues tal como se indica en el último infosat, envienos el fichero que se pide:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\EI02300JGBLM02300.EXE.Muestra EliStartPage v23.62



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 17-7-2011

[msc hotline sat]

Recibida la muestra para analizar, ha resultado ser un FAKE AV PERSONAL SHIELD PRO que pasamos a controlar en la version de hoy del ELISTARA 23.65



Como que intercepta la ejecucion de cualquier EXE, conviene cambier el nombre al ELISTARA.EXE por el de EXPLORER.EXE, que asi podrá ser ejecutado.



A partir de las 19 h CEST de hoy, dicha version del ELISTARA 23.65, estará dicponible en nuestra web, descarguela y tras probarla, posteenos el contenido del C:\infosat.txt, gracias



saludos



ms, 18-7-2011

[dabol]

Saludos...



Hice lo que me indicaron y en Modo Normal pasé el Elistara con nombre cambiado.



Se colgó al estar revisando el archivo setvjcij.sys en la carpeta C:\WINDOWS\system32\drivers si saben algo de este archivo les pido que me informen. Traté de comprimirlo para enviarlo como muestra para análisis pero el sistema no me permitio hacerlo.



Luego inicie en Modo a prueba de errores y pasé el Elistara, aquí el resultado:



______________________________________

(19-7-2011 22:00:42 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-1003



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(19-7-2011 22:00:51 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(19-7-2011 22:33:52 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-1003



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(19-7-2011 22:33:58 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(19-7-2011 22:49:45 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7743

Nº Total de Ficheros: 118169

Nº de Ficheros Analizados: 18673

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(19-7-2011 22:50:04 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 85

Nº Total de Ficheros: 971

Nº de Ficheros Analizados: 42

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

__________________________



Luego en Modo Normal intente analizar con el Avast, pero se colgó en la carpeta C:\WINDOWS\system32\drivers



Cabe señalar que detectó 18 archivos infectados y que envié los archivos al baúl.



Espero que me sigan dando algunas alternativas de solución porque el Elistara no parece detectar algo anormal. Gracias.

[msc hotline sat]

El Elistara ya aparcó el fichero malware que tenía en C:\muestras, y lo eliminó de su ubicacion inicial, cuando pidió muestra que nos envió:


[quote]Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\EI02300JGBLM02300.EXE.Muestra EliStartPage v23.62

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\EI02300JGBLM02300\EI02300JGBLM02300.EXE --> Eliminado [/quote]

Ahora solo debía encontrar y eliminar dicho fichero aparcado en C:\muestras\ pero si tiene otros problemas que no deteca con el ELISTARA, lance un SPROCES y posteenos el log resultante:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 20-7-2011





NOTA:



Y sobre el fichero que menciona, setvjcij.sys, no lo conocvemos. Si lo tiene, envienoslo para analizar. Si no lo tiene, lance una comprobacion de errores desde COMPROBAR ERRORES:



MIPC -> Boton derecho sobre unidad C: -> Propiedades -> Herramientas



ms.

[dabol]

Aquí el resultado del análisis con Sproces:



_________________________________________

(21-7-2011 04:21:16 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: GATEWAY

Usuario: Usuario

Sesión de Usuario: Usuario



37 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIFI\BIN\S24EVMON.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST5\AVASTSVC.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIFI\BIN\EVTENG.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTEL\WIRELESSCOMMON\REGSRVC.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST5\AVASTUI.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIFI\BIN\ZCFGSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INTEL\WIRELESSCOMMON\IFRMEWRK.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\WBEM\UNSECAPP.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\DEFRAG.EXE

C:\WINDOWS\SYSTEM32\DFRGNTFS.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.pe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-602162358-436374069-1417001333-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')

R0 - HKUS\S-1-5-21-602162358-436374069-1417001333-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador')

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-21-602162358-436374069-1417001333-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')

O4 - HKUS\S-1-5-21-602162358-436374069-1417001333-500\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Administrador')

O4 - HKUS\S-1-5-21-602162358-436374069-1417001333-500\..\RunOnce: [NeroHomeFirstStart] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMFirstStart.exe (User 'Administrador')

O4 - HKLM\..\Run: [avast5] "C:\Archivos de programa\Alwil Software\Avast5\avastUI.exe" /nogui

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\WiFi\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Archivos comunes\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\aswSnx.sys (de 441176 bytes) () AVAST Software

WinSys\Drivers\ati2mtag.sys (de 970240 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\HSF_CNXT.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Archivos de programa\Intel\WiFi\bin\EvtEng.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Archivos de programa\Archivos comunes\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Archivos de programa\Intel\WiFi\bin\S24EvMon.exe

O23 - Service: Transporte WLAN (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys

O23 - Service: Conexant AMC Audio (CAMCAUD) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6aud.sys

O23 - Service: CAMCHALA - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6hal.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: HSFHWICH - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWICH.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Prolific2 Serial port driver (Ser2pl) - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ser2pl.sys

O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: Conexant Setup API (UIUSys) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\UIUSys.sys (file missing)

O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2200BG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)



30 Servicios.

8 de Carga Automatica.

18 de Carga Manual.

4 Deshabilitados.

_________________________



Sobre el archivo setvjcij.sys en la carpeta C:\WINDOWS\system32\drivers, vuelvo a decir que: "Traté de comprimirlo para enviarlo como muestra para análisis pero el sistema no me permitio hacerlo".



Sigue apareciendo esta ventana emergente al entrar a algunas webs, incluso al cargar esta, como si abriera un software de Java, luego automáticamente el Avast me informa del bloqueo de un ataque de virus.



Saludos...

[msc hotline sat]

Sobre el fichero setvjcij.sys, mire de empaquetarlo con password virus arrancando EN MODO SEGURO, y si no es que esté corrupto, o que tenga 0 bytes, o que no exista, debería poder hacerlo.



Y voy a analizar el log...



Pues elimine estas dos claves (SPROCES -> SCAN -> marcar las claves -> ELiminar)



O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)



O4 - HKUS\S-1-5-21-602162358-436374069-1417001333-500\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Administrador')





Tras ello reinicie y nos cuenta el resultado, gracias



saludos



ms, 21-7-2011

[dabol]

Ayer leí su mensaje y por cuestion de tiempo no realicé nada.



Hoy, encendi la maquina y sólo revise mi email y apareció nuevamente el Personal Shield Pro FAKE, abrí el Elistara y eliminó el troyano.



Realicé la eliminación de las claves que me indicaron.



Intenté comprimir el setvjcij.sys en modo normal y en modo seguro. Nuevamente el Winrar me indicaba que tenía ACCESO DENEGADO.



Aquí el pequeño log del Elistara (no analicé las unidades sólo quise eliminar el troyano)



_____________________________________

(23-7-2011 01:58:55 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-1003



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\EH02300GCBOK02300.EXE.Muestra EliStartPage v23.65

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\EH02300GCBOK02300\EH02300GCBOK02300.EXE --> Eliminado

Entrada Eliminada [HKUS\S-1-5-21-602162358-436374069-1417001333-1003\...\RunOnce] "EH02300GCBOK02300"="C:\Documents and Settings\All Users\Datos de programa\eH02300GcBoK02300\eH02300GcBoK02300.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-7-2011 01:59:04 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

___________________________________



Envío la muestra que indica el Elistara que asumo que es el Fake PSPro nuevamente...



Saludos...

[msc hotline sat]

Sí, este que pedimos, promete...



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\EH02300GCBOK02300.EXE.Muestra EliStartPage v23.65



El lunes, cuando volvamos al trabajo en SATINFO, lo analizaremos e informaremos.



Y ahora ya está aparcado en C:\muestras\ y fuera de circulación, asi que tras reiniciar no debería tener problemas. Informenos al respecto, gracias



saludos



ms, 23-7-2011

[dabol]

La maquina sigue lenta... reinicié y le pasé en modo seguro un Elistara y un Sproces. Noté que habían 5 svchost.exe abiertos ¿qué tan normal es eso?



______________________________________

(24-7-2011 00:02:38 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-1003



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-7-2011 00:02:44 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-7-2011 00:12:51 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7761

Nº Total de Ficheros: 118218

Nº de Ficheros Analizados: 18689

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(24-7-2011 00:13:21 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 85

Nº Total de Ficheros: 971

Nº de Ficheros Analizados: 42

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

____________________________



____________________________

(24-7-2011 00:15:20 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: GATEWAY

Usuario: Usuario

Sesión de Usuario: Usuario



13 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST5\AVASTUI.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.pe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-602162358-436374069-1417001333-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')

R0 - HKUS\S-1-5-21-602162358-436374069-1417001333-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador')

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PowerMgr] "C:\Documents and Settings\Usuario\Datos de programa\PowerMgr\hstart.exe" /SHELL /NOCONSOLE /BELOWNORMAL "C:\Documents and Settings\Usuario\Datos de programa\PowerMgr\run.cmd"

O4 - HKCU\..\Run: [PMWatchDog] "C:\Documents and Settings\Usuario\Datos de programa\PowerMgr\hstart.exe" /SHELL /NOCONSOLE /BELOWNORMAL "C:\Documents and Settings\Usuario\Datos de programa\PowerMgr\watchdog.cmd"

O4 - HKUS\S-1-5-21-602162358-436374069-1417001333-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')

O4 - HKUS\S-1-5-21-602162358-436374069-1417001333-500\..\RunOnce: [NeroHomeFirstStart] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMFirstStart.exe (User 'Administrador')

O4 - HKLM\..\Run: [avast5] "C:\Archivos de programa\Alwil Software\Avast5\avastUI.exe" /nogui

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\WiFi\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Archivos comunes\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\aswSnx.sys (de 441176 bytes) () AVAST Software

WinSys\Drivers\ati2mtag.sys (de 970240 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\HSF_CNXT.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Archivos de programa\Intel\WiFi\bin\EvtEng.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Archivos de programa\Archivos comunes\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Archivos de programa\Intel\WiFi\bin\S24EvMon.exe

O23 - Service: Transporte WLAN (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys

O23 - Service: Conexant AMC Audio (CAMCAUD) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6aud.sys

O23 - Service: CAMCHALA - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\camc6hal.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: HSFHWICH - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWICH.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Prolific2 Serial port driver (Ser2pl) - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ser2pl.sys

O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: Conexant Setup API (UIUSys) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\UIUSys.sys (file missing)

O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2200BG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)



30 Servicios.

8 de Carga Automatica.

18 de Carga Manual.

4 Deshabilitados.

______________________





Quisiera informarles que al abrir esta web aparecio esta ventana de apertura de JAVA a la que ya me estoy acostumbrando, con un logo chico de SUN en la parte inferior. Y el explorador indicó que debía reiniciarlo porque había sucedido un error. Tenía desactivado el Avast. Luego la web cargo normalmente.



Sin embargo ya es como la tercera o cuarta vez que me sucede, pero el Avast siempre bloquea el ataque de un supuesto virus.



Saludos...

[dabol]

Actualización...



Luego de hacer el post anterior, apareció el globo de texto del FAKE PS Pro... abri el Elistara y eliminé el troyano. Estoy relacionando la ventana JAVA con el FAKE PS Pro.



Descargue el Malwarebytes y detectó 3 malwares que eliminé después. Me di cuenta que limino el Elistara que como me indicaron renombre a EXPLORER.EXE



Aquí el Log

_______________________________

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org



Versión de la Base de Datos: 4052



Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702



23/07/2011 08:00:45 p.m.

mbam-log-2011-07-23 (20-00-45).txt



Tipos de Análisis: Análisis Rápido

Objetos examinados: 118747

Tiempo transcurrido: 3 minuto(s), 1 segundo(s)



Procesos en Memoria Infectados: 0

Módulos de Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 1

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Archivos Infectados: 2



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos de Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)



Valores del Registro Infectados:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Archivos Infectados:

C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Usuario\Escritorio\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

___________________





Luego analicé con un reinstalado Elistara, aquí el resultado:

______________________________________

(24-7-2011 00:51:46 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-1003



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\PP02300MCEJN02300.EXE.Muestra EliStartPage v23.65

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\PP02300MCEJN02300\PP02300MCEJN02300.EXE --> Eliminado

Entrada Eliminada [HKUS\S-1-5-21-602162358-436374069-1417001333-1003\...\RunOnce] "PP02300MCEJN02300"="C:\Documents and Settings\All Users\Datos de programa\pP02300McEjN02300\pP02300McEjN02300.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-7-2011 00:51:52 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-7-2011 01:04:30 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Usuario

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-1003



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-7-2011 01:04:36 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-7-2011 01:06:23 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7772

Nº Total de Ficheros: 118291

Nº de Ficheros Analizados: 18710

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(24-7-2011 01:06:32 (GMT))

EliStartPage v23.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-602162358-436374069-1417001333-500



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 85

Nº Total de Ficheros: 971

Nº de Ficheros Analizados: 42

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

____________________________



Saludos cordiales...

[msc hotline sat]

Pues pareec que el MBAM encontró un Rootkit, que quizas aun no conocemos:



C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent)



lástima que lo haya eliminado, hubiera ido bien analizarlo para controlarlo, pero bueno, ahora vemos que el ELISTARA pode otras muestras:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\PP02300MCEJN02300.EXE.Muestra EliStartPage v23.65





pues envianoslas y tras analizarlas, te informaremos del resultado.





Y además, dinos si ahora aun persiste el problema, ya que dicho fichero lo hemos aparcado y está ya fuera de circulacion.





saludos



ms, 24-7-2011

[msc hotline sat]

Recibida la muestra pedida, ha resultado ser maliciosa:





File name:

EH02300GCBOK02300.EXE.Muestra EliStartPage v23.65

Submission date:

2011-07-25 07:57:07 (UTC)

Current status:

finished

Result:

21/ 43 (48.8%)



VT Community



not reviewed

Safety score: -

Compact

Print results

Antivirus Version Last Update Result

AhnLab-V3 2011.07.25.00 2011.07.24 -

AntiVir 7.11.12.82 2011.07.25 TR/Winwebsec.A.4263

Antiy-AVL 2.0.3.7 2011.07.25 -

Avast 4.8.1351.0 2011.07.25 Win32:Malware-gen

Avast5 5.0.677.0 2011.07.25 Win32:Malware-gen

AVG 10.0.0.1190 2011.07.24 SHeur3.CKSJ

BitDefender 7.2 2011.07.25 Gen:Variant.FakeAlert.88

CAT-QuickHeal 11.00 2011.07.25 -

ClamAV 0.97.0.0 2011.07.24 -

Commtouch 5.3.2.6 2011.07.24 -

Comodo 9502 2011.07.25 -

DrWeb 5.0.2.03300 2011.07.25 Trojan.Fakealert.23317

Emsisoft 5.1.0.8 2011.07.25 Trojan.Win32.FakeAV!IK

eSafe 7.0.17.0 2011.07.24 -

eTrust-Vet 36.1.8459 2011.07.22 -

F-Prot 4.6.2.117 2011.07.24 -

F-Secure 9.0.16440.0 2011.07.25 Gen:Variant.FakeAlert.88

Fortinet 4.2.257.0 2011.07.25 -

GData 22 2011.07.25 Gen:Variant.FakeAlert.88

Ikarus T3.1.1.104.0 2011.07.25 Trojan.Win32.FakeAV

Jiangmin 13.0.900 2011.07.24 Trojan/HmBlocker.bbl

K7AntiVirus 9.108.4937 2011.07.22 -

Kaspersky 9.0.0.837 2011.07.25 -

McAfee 5.400.0.1158 2011.07.25 FakeAlert-SecurityTool.bt

McAfee-GW-Edition 2010.1D 2011.07.24 Heuristic.BehavesLike.Win32.Downloader.A

Microsoft 1.7104 2011.07.25 Rogue:Win32/Winwebsec

NOD32 6321 2011.07.25 a variant of Win32/Kryptik.QPT

Norman 6.07.10 2011.07.23 W32/Suspicious_Gen2.NQZJM

nProtect 2011-07-25.01 2011.07.25 Gen:Variant.FakeAlert.88

Panda 10.0.3.5 2011.07.24 -

PCTools 8.0.0.5 2011.07.25 -

Prevx 3.0 2011.07.25 -

Rising 23.68.00.03 2011.07.25 -

Sophos 4.67.0 2011.07.25 Mal/FakeAV-KL

SUPERAntiSpyware 4.40.0.1006 2011.07.24 Trojan.Agent/Gen-FakeAlert

Symantec 20111.1.0.186 2011.07.25 -

TheHacker 6.7.0.1.262 2011.07.24 Trojan/CI.gen

TrendMicro 9.200.0.1012 2011.07.25 -

TrendMicro-HouseCall 9.200.0.1012 2011.07.25 -

VBA32 3.12.16.4 2011.07.25 -

VIPRE 9958 2011.07.25 Trojan.Win32.Generic!BT

ViRobot 2011.7.25.4586 2011.07.25 -

VirusBuster 14.0.136.0 2011.07.24 -

Additional information

MD5 : e8facd2246425f268b26a68336c5fc97

SHA1 : 36d5a1657d515ca7911d0d9462725d2ec558ebad



File size : 393216 bytes





Como que ya está aparcada en C:\muestras\ y además con la extension cambiada, ya no será ejecutada a partir del proximo reinicio, por lo que es de esperar que ya no tenga anomalias, pero por si existieran copias con otro nombre, lance el ELIMD5.EXE



ELIMD5



http://www.zonavirus.com/descargas/descargar-elimd5exe.asp





con este hash :



e8facd2246425f268b26a68336c5fc97



y asi detectará y eliminará los compañeros de este malware, si es que los hay.



Por nuestra parte, añadiremos el control y eliminacion de este malware en el proximo ELISTARA 23.70, si bien este se hará a partir del 22 de Agosto, que es cuando volvemos de vacaciones, ya que hoy las empezamos a hacer en SATINFO y estamos a media plantilla.



Informenos del resultado de esta último escaneo y de como se comporta tras ello su ordenador, gracias



saludos



ms, 25-7-2011

[dabol]

Bueno...



Use el Malwarebytes y el Ccleaner pero el Fake PS pro volvió a aparecer. Si bien es cierto el Elistara lo elimina, vuelve a aparecer.



Intenté luego con otra aplicaciones. Primero con el llamado RKill.exe que detiene malwares pero no los elimina. Luego aplique el programa Trojan Killer y analicé con este la pc pero se detuvo el analisis en el bendito SETVJCIJ.SYS y no respondio más.



No puedo comprimir ese archivo. Incluso intenté eliminarlo pero nada, esta fijado ahi no sé como hacer para sacarlo, ya lo intenté tambien en modo seguro.



Finalmente pase el elistara para que elimine el Fake PS Pro que el RKill.exe inmovilizó por decirlo así.



Por ahora todo digamos que bien. Solo que a pc demora un poco. No es instantanea con las ordenes. Asi que debe haber algo por ahi.



Voy a analizarla segun lo que me aconsejan, ya publicaré los resultados.



Saludos...

[dabol]

Actualizando...



Pues bien, en modo normal lancé el EliMD5 y nuevamente el archivo setvjcij.sys truncó el analisis. Para cerrar la aplicación debo cancelar todo, incluso me sale la clasica ventana de "No responde".



Les agradecería que me indiquen que puedo hacer con ese bendito archivo que ya me tiene medio loco. Como ya les dije no me permite comprimirlo y menos eliminarlo.



Lanzaré en modo seguro en otro momento el EliMD5 pero por ahora no tengo tiempo.



Les mencioné sobre los svchost.exe podrían informarme con que proceso o software se vinculan y si es normal tener mas de uno funcionando. Hace unos minutos aparecio una ventana diciendo que habia producido un error.



Nuevamente saludos...

[msc hotline sat]

Pues para la eliminacion del dichoso fichero, pruebe arrancar en MODO SEGURO y lanzar asi el ELIMD5 como ya sabe. Es posible que asi no esté residente en memoria y no se regenere.



Y sobre el SVCHOST.EXE, es el lanzador de tareas del Windows, e interviene en muchos procesos que lanza, por ello lo verá repetido varias veces en los logs.



Pero si está lanzado desde la carpeta de sistema, C:\windows\system32\ es el normal, otra cosa es cuando lo vemos lanzado desde otra carpeta, o desde la indicada, pero con un nombre similar como SCVHOST.EXE , en cuyo caso es un malware.



saludos



ms, 26-7-2011

[dabol]

He usado la pc 2 o 3 veces y no he vuelto a tener el problema del fake PS Pro.



Analicé los discos con EliMD5 en modo seguro, esta vez si finalizó. Sin embargo no eliminó el setvjcij.sys



Aquí el resultado:



(28-7-2011 22:03:08 (GMT))

EliMD5 v1.7 (c)2010 S.G.H. / Satinfo S.L. (Modificado el 11 de Mayo del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7734

Nº Total de Ficheros: 125389

Nº de Ficheros Analizados: 9860

Nº de Ficheros Detectados: 0

Nº de Ficheros Eliminados: 0



(28-7-2011 22:04:13 (GMT))

EliMD5 v1.7 (c)2010 S.G.H. / Satinfo S.L. (Modificado el 11 de Mayo del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 90

Nº Total de Ficheros: 983

Nº de Ficheros Analizados: 20

Nº de Ficheros Detectados: 0

Nº de Ficheros Eliminados: 0

___________________________



Sin embargo la pc sigue algo lenta.



Saludos cordiales...

[msc hotline sat]

No, claro, el hash era para el EH02300GCBOK02300.EXE.Muestra EliStartPage v23.65, no para el setvjcij.sys



No recuerdo haber recibido este último, y aunque lo enviara, vuelvalo a enviar para analizar, pues estamos a media plantilla y ligeramente saturados...



Tras recibirlo y analizarlo, informaremos del resultado



saludos



ms, 29-7-2011

[dabol]

Sobre el archivo setvjcij.sys en la carpeta C:\WINDOWS\system32\drivers, traté de comprimirlo para enviarlo como muestra para análisis pero el sistema no me permitió hacerlo ni en modo normal ni en modo seguro. Incluso intenté eliminarlo, pero no se pudo.



Si conocen algún modo de poder eliminarlo o comprimirlo háganmelo saber. Sospecho mucho de este archivo porque detuvo varios análisis de programas como el Elistara y similares.



O es que debo lanzar el ELIMD5 sin hash?



Saludos...

[msc hotline sat]

Pruebe de arrancar en MODO SEGURO CON FUNCIONES DE RED y vea si asi lo puede empaquetar y enviar.



Sino, en dicho modo, subalo al VirusTotal (www.virustotal.com/es ) y vea si algun antivirus detecta virus, y si es asi, mire de enviarnoslo para analizar, pero ya añada .VIR a su extension para que no se lance a partir del proximo reinicio.



Y si quiere, posteenos el informe de VirusTotal al respecto de dicho fichero, asi sabremos lo que es !



Si es malware y la añade .VIR, tras reiniciar ya se habrá solucionado le problema.



saludos



ms, 31-7-2011

[dabol]

Bueno intente usar la web que me indicaron.



Y digo intente porque no me funciono. Cada vez que quiero cargar el archivo y le doy SEND aparece la ventana previa a la subida del archivo pero luego nada, se carga nuevamente la web. Parece como si hubiera actualizado la web. Es decir no hace nada y eso me preocupa mas aun. Ya que segun vi en youtube deberia aparecer una lista de resultados de los analisis de diferentes antivirus pero en mi caso solo se reinicia la web.



Al encender mi maquina demora, no cargan los programas rapidamente. Pero si puedo cerrar instantaneamente los mensajes que aparecen en ventanas desplegables como los de actualizacion de antivirus y cosas similares.



Saludos...