no se si es virus, troyano, gusano... (Solucionado)

[fjmg]

tengo xp sp2 con mcafee actualizado+adadware+mas cosas y ha entrado "algo" que no me deja ejecutar windows update, ni restaurar sistema ni modificar opciones de carpetas en el explorador, está todo deshabilitado...y ningún antivirus de los que uso detecta nada, os agradecería algo de ayuda. un saludo

[maura63]

Prueba esta utilidad



ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp



Bajar :

http://www.merijn.org/files/hijackthis.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.





Saludos

maura63

[msc hotline sat]

Es que si un virus ha cambiado las claves de registro, y este ha sido eliminado sin restaurar dichas claves, los antivirus no encontrarán virus, y no mirarán en el registro nada mas.



Aparte de la utilidad indicada por Maura63. como que hay michas mas claves que son modificadas en el registro y no son restauradas por el ELIRESTR, pues este es para eliminar restricciones, puedes tambien lanzar el ELITRIIP.EXE y el ELISTARA.EDXE, que aunque no detecten nada, restaurarán las claves que muchos virus hubieran podido haber modificado:



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Y si a pesar de esto persiste el problema, envianos el log del HJT, pero es solo un 1 % de las claves de registro, y la mayoría no se ven allí, salvo las de carga de virus y troyanos, pero no las de interceptacion. Si con todo ello no lo vemos, siempre cabrá la ayuda de REPARAR el sistema arrancando con el CD de instalacion, y arancar como si fueramos a Instalar, y una vez aceptado contratdo, cuando detecta la particion instalada, escoger REPARAR, no reinstalar, para no perder las aplicaciones instaladas. Si se hace esto, debe finalizarse con un windowsupdate para actualizar parches, pues se gabrán perdido todos los de windows al reparar el sistema



Ya nos contarás tus progresos



saludos



ms, 05-05-2005

[fjmg]

una vez que he pasado todos los programillas, no se ha modificado nada del estado general. adjunto el archivo log, por si sois capaces de ver algo raro.



Logfile of HijackThis v1.99.1

Scan saved at 15:38:49, on 05/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

C:\Archivos de programa\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe

C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe

C:\WINDOWS\system32\wuauclt.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mcsv.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NDAv] C:\WINDOWS\system32\csnss.exe

O4 - HKLM\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NDAv] C:\WINDOWS\system32\csnss.exe

O4 - HKCU\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe

O23 - Service: McShield - Unknown owner - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe



he vuelto a intentarlo con windows update y el mensaje que sigue apareciendo es:

"La configuración de directivas de red le impide utilizar Windows Update para descargar e instalar actualizaciones en el equipo. Si cree que ha recibido este mensaje por error, consulte al administrador del sistema"

y tampoco puedo se me permite entrar a las páginas on line de análisis de antivirus.

un saludo y gracias

[maura63]

Tienes derechos de administrador :?: :?:





Lo desconocido que veo es



F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mcsv.com -

O4 - HKLM\..\Run: [ScanRegistry] C:\W -



O4 - HKLM\..\Run: [NDAv] C:\WINDOWS\system32\csnss.exe -

O4 - HKLM\..\Run: [SDAv] C:\WINDOWS\svhost.exe -

O4 - HKCU\..\Run: [NDAv] C:\WINDOWS\system32\csnss.exe -

O4 - HKCU\..\Run: [SDAv] C:\WINDOWS\svhost.exe -



Pasa este antivirus online





· Computer Associates

https://www.virustotal.com/es/



Lanzalo y dinos si detecta algo, no hagas nada mas.



Saludos

maura63

[msc hotline sat]

Por lo que parece aqui tenías un virus que debieras haber controlado con el antivirus. Revisa que lo tengas actualizado:



http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FATSO.C&VSect=T



Y en consecuencia, además de borrar las claves indicadas, deberás borrar los ficheros:



C:\WINDOWS\svhost.exe -

C:\WINDOWS\system32\csnss.exe



Y antes de eliminarlos, envianos una muestra de los mismos a zonavirus@satinfo.es anexados a un mail cuyo texto sea un copiar y pegar de este post, para poder contestarte como respuesta de este Tema, con el resultado del analisis y con la version de McAfee que lo controla y el nombre, ya que dices que es el que usas, y si fuera una variante no controlada, pasaríamos a controlarla



saludos



ms, 5-05-2005

[fjmg]

poco a poco con el modem, he podido pasar el antivirus recomendado y ha encontrado el virus win 32 hybris b en una aplicación descargada (clone cd), lo ha eliminado, pero el problema del acceso al update, opciones de carpeta y punto de restauración continúan, si se os ocurre algo más.... muy agradecido y saludos

[maura63]

Vuelve a pegarnos un log de hijackthis.



Saludos

maura63

[msc hotline sat]

Nos has enviado las muestras pedidas?



Es posible que dicho virus hubiera modificado claves en el registro que se hayan de restaurar, y sin las muestras no podremos saber cuales y hacer la utilidad correspondiente, aunque ya no hayan los ficheros, pero sí las consecuencias.



Por esto nuestras utilidades restauran las claves que la familia de virus que controlan hubieran podido modificar, aunque ya no detecten el virus.



Dinos aqui cuando nos envies las muestras para darles prioridad.



saludos



ms, 6-05-2005

[fjmg]

[quote="maura63"]Vuelve a pegarnos un log de hijackthis.



Saludos

maura63[/quote]

el último log es:



Logfile of HijackThis v1.99.1

Scan saved at 16:48:31, on 06/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

C:\Archivos de programa\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe

C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mcsv.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NDAv] C:\WINDOWS\system32\csnss.exe

O4 - HKLM\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NDAv] C:\WINDOWS\system32\csnss.exe

O4 - HKCU\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_06\bin\npjpi141_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_06\bin\npjpi141_06.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe

O23 - Service: McShield - Unknown owner - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe



los archivos que me acosejan borrar, son imposibles de encontar, un saludo

[msc hotline sat]

En correo privado (que no debe usarse para consultas tecnicas), el autor de este tema ha posteado:



__________



De: fjmg

Para: msc hotline sat

Publicado: Vie May 06, 2005 6:20 pm

Asunto: archivos que no aparecen

no os puedo enviar las muestras por que no están donde aparecen en el log, y tampoco están como ocultas.

Después de pasar anoche el antivirus que me recomendais en el foro y eliminar el software de clonecd, que aparecía como infectado, parece que virus y troyanos no hay. La definición de virus que tengo del mcafee es la 4.0.4484, que es la última, y se actualiza muy amenudo, así como la de ad-aware y spyware.

Adjunto último archivo del log. un saludo y muchisimas gracias.



Logfile of HijackThis v1.99.1

Scan saved at 16:48:31, on 06/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

C:\Archivos de programa\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe

C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mcsv.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NDAv] C:\WINDOWS\system32\csnss.exe

O4 - HKLM\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NDAv] C:\WINDOWS\system32\csnss.exe

O4 - HKCU\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_06\bin\npjpi141_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_06\bin\npjpi141_06.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe

O23 - Service: McShield - Unknown owner - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe





_____________



lo cual se ha copiado como respuesta del Tema, que es tal como debe seguirse para ser ayudado por el foro.



saludos



ms, 6-05-2005

[msc hotline sat]

Indica tener actualizado McAfee con DATS 4484. Sepa que ya ayer había la 4486, porque cambia a diario...



Quizás los ficheros que ya no encuentra los borró con el antivirus. Mire de buscarlos con un Inicio->Buscar, no sea que los haya movido el VirusScan a Cuarentena, y nos los puede enviar (desactivando el antivirus para poder hacerlo), pero si los eliminó, pues muerto el perro...



Sobre el último log, persisten las claves que maura63 le indicó que borrara, y si Vd lo hizo, quiere decir que se le han reproducido.



Las claves a analizar en su ultimo log son:



F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mcsv.com

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NDAv] C:\WINDOWS\system32\csnss.exe

O4 - HKLM\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O4 - HKCU\..\Run: [NDAv] C:\WINDOWS\system32\csnss.exe

O4 - HKCU\..\Run: [SDAv] C:\WINDOWS\svhost

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe





Entre las cuales hay las que maura63 ya le indicó eliminar, por ser las primeras con las que proceder, y de persistir los problemas, iríamos procediendo, pero lo importante es saber si eliminó o no las que se le indicaron.



Tras su respuesta, informaremos de como proceder, y si logra enviarnos las muestras, podremos hasta potenciar alguna de nuestras utilidades para que controlara y eliminara el virus y las claves correspondientes.



saludos



ms, 7-05-2005

[fjmg]

Os agradezco el interés, pero es que los archivos que aparecen en windows y en el system 32 localizados en el log, no los encuentro nunca (la única forma que tengo ahora de buscarlos en con la opción de buscar, archivos, opción ocultos) por que continúa sin aparecer en el explorador la opción de ver archivos ocultos.

A la imposibilidad de restaurar sistema o acceder a windows update, se acaba de sumar la imposibilidad de usar el outlook express, las cuentas de correo acceden al servidor y se cortan inmediatamente; a lo mejor la única forma de dejar todo bien es restaurar sistema desde el cd de instalación de windows, pero tampoco lo veo claro por las actualizaciones y programas que se pierden... un saludo

[fjmg]

En internet he encontrado un artículo que con el comando sfc /scannow, dentro del menú cmd, se comprueba desde un cd con winxp sp2 los archivos protegidos de windows, y que estos estén en sus versiones originales,...después de hacerlo y no haber ningún problema, el acceso a diversas funciones del s.o. me continúan vetadas por un administrador.....continúo haciendo pruebas.

[msc hotline sat]

Puede probar el REPARAR el sistema arrancando con el CD de instalacion, pero es posible que las claves de registro que utiliza el virus (y qie posiblemente no aparezcan en el log del HJT), no las restablezca la reparacion.



Por esto, a la vista de que parece que se le reproducen las claves que le indicamos que borre con el HJT, son necesarias las muestras para monitorizarlas y ver que claves crean y estudiar su completa eliminacion.



Pruebe arrancando en modo seguro, y lance el antivirus en este modo a ver si detecta virus, y si es así copia los ficheros infectados en un disquete.



Luego arranque normal y desactive el antivirus y envienos las muestras del disquete.



Si usa XP y ADSL con router, puede arrancar en modo seguro con funciones de red y, tras detectar los fiocheros infectados con un antivirus, envaurnos las muestras en la misma sesion. ya que arrancando en la forma indicada podría navegar y por tanto enviar correo.



saludos



ms, 8-05-2005

[fjmg]

He arrancado en modo seguro, lanzado todos lo antivirus y diverso software y no he pillado nada extraño, sin enbargo, entrando en regedit, en las carpetas run de windows, han aparecido archivos que me recomendasteis eliminar, y que eliminé, pero que no he podido cogerlos para que los analiceis ya que no consigo verlos desde ninguna otra aplicación (cnss.exe, svhost..) para colmo de males, mi correo a través de wanadoo está dañado? y no consigo mandar no recibir, incluso no puedo entrar desde la página suya (accediendo a cuentas de correo) y no se si tendrá que ver con todo...

un saludo a quien me pueda seguir ayudando y si no contesto con mas frecuencia es por que este que escribe aún lo hace con modem....

[msc hotline sat]

Prueba arrancando en modo seguro, o desconectando el antivirus para que no elimine dichos ficheros al arrancar, y mira de enviarnos copia de los ficheros en cuestion.



Con ello podremos hacerte una utilidad para eliminacion de procesos, claves y ficheros.



Sino lo unico que puedo decirte es que sigas las indicaciones de TREND indicadas en el links de informacion del virus FATSO.C, que muy posiblemente sea el que tienes:



http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FATSO.C&VSect=T



ATENCION!!! Veo que en la descripcion indican que estos ficheros los ocultan con atributo H !!!

(además de R y S, o sea, oculto, solo lectura y de sistema !!!)



Configure su windows para que vea todos los ficheros, incluso los ocultos pues quizas por esto no los encuentra..., o mejor quiteles los atributos y asi podrá copiarlos facilmente y enviarnoslos.



saludos



ms, 11-05-2005

[msc hotline sat]

Habiendo buscado mas informacion al respecto, vemos que es una variante del CROG, pues tambien infecta los CDROM que se graben con este virus en memoria, infectando el AUTORUN, como hace el CROG, de forma que cuando se usen estos CD, solo por ponerlos en un ordenador para leerlos, al ejecutarse el AUTORUN , infectará el ordenador, conque los CDROM que se hayan hecho... a la basura !!!



La informacion de PANDA en castellano quizás facilita mas su conocimiento:



___________







Fatso.APeligrosidad:

Daño:

Propagación:













Efectos



Fatso.A realiza las siguientes acciones:



Finaliza los siguientes procesos, si se encuentran activos:



apvxdwin.exe, atupdater.exe, aupdate.exe, autodown.exe, autotrace.exe, autoupdate.exe, avconsol.exe, avengine.exe, avsynmgr.exe, avwupd32.exe, avxquar.exe, bawindo.exe, blackd.exe, ccapp.exe, ccevtmgr.exe, ccproxy.exe, ccpxysvc.exe, cfiaudit.exe, cmd.exe, defwatch.exe, drwebupw.exe, escanh95.exe, escanhnt.exe, firewall.exe, frameworkservice.exe, icssuppnt.exe, icsupp95.exe, luall.exe, lucoms~1.exe, mcagent.exe, mcshield.exe, mcupdate.exe, mcvsescn.exe, mcvsrte.exe, mcvsshld.exe, msconfig.exe, msdev.exe, navapsvc.exe, navapw32.exe, nisum.exe, nopdb.exe, nprotect.exe, nupgrade.exe, ollydbg.exe, outpost.exe, pavfires.exe, pavproxy.exe, pavsrv50.exe, peid.exe, petools.exe, regedit.exe, reshacker.exe, rtvscan.exe, rulaunch.exe, savscan.exe, shstat.exe, sndsrvc.exe, taskmgr.exe, Update.exe, updaterui.exe, vshwin32.exe, vsstat.exe, vstskmgr.exe, w32dasm.exe, winhex.exe y wscript.exe.



Estos procesos pertenecen, entre otros, a herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, y finalizarlos deja al ordenador vulnerable frente al ataque de otro malware.

Evita que el usuario pueda acceder a las páginas web de varias compañías antivirus.

Abre el Bloc de Notas y muestra el siguiente texto cuando es ejecutado:



Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking

Saving the world from Bropia, the world n33ds saving from you!



'-S-K-Y-'-D-E-V-I-L-'



Metodo de Infección











Fatso.A crea los siguientes archivos:



FORMATSYS.EXE y SERBW.EXE en el directorio de sistema de Windows.



MSMBW.EXE en el directorio de Windows.



ANNOYING CRAZY FROG GETTING KILLED.PIF, CRAZY FROG GETS KILLED BY TRAIN!.PIF, FAT ELVIS! LOL.PIF, HOW A BLONDE EATS A BANANA...PIF, JENNIFER LOPEZ.SCR, LOL THAT UR PIC!.PIF, LSPT.EXE, ME ON HOLIDAY!.PIF, MONA LISA WANTS HER SMILE BACK.PIF, MY NEW PHOTO!.PIF, SEE MY LESBIAN FRIENDS.PIF, THE CAT AND THE FAN PICCY.PIF y TOPLESS IN MINI SKIRT! LOL.PIF en el directorio raíz de la unidad C:.



Todos estos archivos son copias del gusano, y tienen el atributo oculto.

CRAZY-FROG.HTML, que tiene un tamaño de 745 Bytes, y MESSAGE TO N00B LARISSA.TXT, cuyo tamaño es 156 Bytes, en el directorio raíz de la unidad C:.



Fatso.A modifica el archivo HOSTS, de modo que evita el acceso a las páginas web de diversas compañías antivirus.



Fatso.A crea las siguientes entradas en el Registro de Windows:



Crea una entrada en cada una de las siguientes rutas:



HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run



HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run



HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run



HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run



HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices



Las entradas creadas tienen un nombre aleatorio seleccionado de la lista: Avnort, ltwob y serpe, y su valor es siempre %windir%\ msmbw.exe, donde %windir% es el directorio de Windows.



Mediante estas entradas, Fatso.A consigue ejecutarse cada vez que Windows se inicia.

Fatso.A modifica determinadas entradas del Registro de Windows, de modo que los archivos ocultos no se muestran en el Explorador de Windows.





Método de Propagación







Fatso.A se propaga a través del programa de mensajería instantánea MSN Messenger, de programas de intercambio de archivos punto a punto (P2P) y de CD-ROMs.



1.- Propagación a través de MSN Messenger.



Fatso.A realiza el siguiente proceso:



Al usuario le llega un mensaje instantáneo que contiene un enlace a un archivo del gusano.

Fatso.A es descargado al ordenador cuando el usuario pulsa el enlace.

El gusano envía una copia del mensaje anterior a todos los usuarios que encuentre en la Lista de Contactos de Messenger.





2.- Propagación a través de programas P2P.



Fatso.A realiza el siguiente proceso:



Crea copias de sí mismo en el directorio C:\ MY SHARED FOLDER, si existe. Utiliza los siguientes nombres de archivo:

Messenger Plus! 3.50.exe

MSN all version polygamy.exe

MSN nudge bomb.exe

Otros usuarios de estos programas podrán acceder de manera remota a dicho directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Fatso.A, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.

Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Fatso.A.





3.- Propagación a través de CD-ROMs.



Fatso.A crea dos archivos:



- AUTORUN.EXE en el directorio %carpeta de usuario%\ LOCAL SETTINGS\ APPLICATION DATA\ MICROSOFT\ CD BURNING. Este archivo es una copia del gusano.

- AUTORUN.INF, que contiene la línea OPEN=AUTORUN.EXE.

De esta forma, el gusano crea una copia de sí mismo en todos los CD-ROMs que son grabados en el ordenador afectado.

Cuando un CD-ROM infectado sea introducido en un ordenador, Fatso.A se activará automáticamente.





Otros Detalles







Fatso.A está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 17,429 Bytes cuando está comprimido mediante MEW, y de casi 150 KiloBytes una vez descomprimido.





_________



Pendientes de recibir las muestras, pensamos implementar el control de este virus a nuestra ya conocida utilidad ELICROGA , a la vista de que es una variante que viene a hacer lo mismo pero con otros ficheros.



A titulo de informacion, además de propagarse por CDROM, segun explicado, se propaga por mensaje de messenger y por sistemas de comparticiones P2P...



saludos



ms, 11-05-2005

[fjmg]

me es totalmente imposible ver archivos ocultos (esa pestaña del explorador desapareció...) por lo que no puedo mandaros los archivos infectados, solamente a través de regedit elimino algo..

Os agradecería me dijerais con que antivirus , aparte del mcafee instalado, se podrían eliminar.

saludos.

[msc hotline sat]

Pruebe esta utilidad:



ELICROGA

http://www.zonavirus.com/datos/descargas/77/EliCrogA.asp



Ya que la v 1.3 la hemos hecho, bajo teoría, para su caso.



Hubieramos querido probarla practicamente, pero dadas las circunstancias, vea como le va utilidad indicada y nos lo cuenta como respueta de este Tema



Es posible que sea el virus quien no le deje cambiar atributos y ver los ocultos. Como que la utilidad hace una copia de dichos ficheros en un directorio temporal, tras ejecutar la utilidad, si puede enviarnoslos, nos interesa que lo haga para la comprobacion práctica.



En cualquier caso, comentenos los resultados, como respueta de este Tema, gracias



saludos



ms, 13-05-2005

[fjmg]

He instalado la última versión y el problema está solucionado.



muchas gracias y enhorabuena por la efctividad.

[maura63]

Pues nos alegramos que se solucionara por fin.



Cerramos el tema.



Saludos

maura63