Virus desconocido, YOUR PRIVACY IS IN DANGER!! DOWNLOAD PRIV

[msc hotline sat]

Pues en unas 4 horas entraremos a trabajar en SATINFO, desde donde veremos si lo hemos recibido y en su caso lo analizaremos e informaremos



saludos



ms, 5-3-2008

[msc hotline sat]

Recibidos 9 ficheros infectados, se pasan a controlar con el ELISTARA 15.80 de hoy ;





antiviirus.vir - infected by Trojan-Downloader.Win32.Agent.keu

apdqnxp.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bww

btrklfr.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bwx

dkxrstqxrw.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bts

enlfxgw.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bwy

fqspogw.exe - infected by not-a-virus:AdWare.Win32.Vapsup.byt

SetupKbd.dll - infected by Trojan-Dropper.Win32.Agent.eya

zip.dll - infected by Trojan-Dropper.Win32.Agent.eya

KernelSys.dll - infected by Trojan-Dropper.Win32.Agent.eya



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 5-3-2008

[ostropio]

[quote="msc hotline sat"]Recibidos 9 ficheros infectados, se pasan a controlar con el ELISTARA 15.80 de hoy ;





antiviirus.vir - infected by Trojan-Downloader.Win32.Agent.keu

apdqnxp.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bww

btrklfr.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bwx

dkxrstqxrw.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bts

enlfxgw.dll - infected by not-a-virus:AdWare.Win32.Vapsup.bwy

fqspogw.exe - infected by not-a-virus:AdWare.Win32.Vapsup.byt

SetupKbd.dll - infected by Trojan-Dropper.Win32.Agent.eya

zip.dll - infected by Trojan-Dropper.Win32.Agent.eya

KernelSys.dll - infected by Trojan-Dropper.Win32.Agent.eya



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 5-3-2008[/quote]



Ok muchas gracias, quieres decir que contestarás en este post ?



Saludos

[lucl]

Quiere decirte que te descargues el elistara de nuevo y lo ejecutes en tu pc, y nos pegas el log, como siempre, saludos

[ostropio]

Wed Mar 05 21:38:49 2008

EliStartPage v15.80 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

G:\ARCHIVOS DE PROGRAMA\ANTIVIIRUS.EXE --> DownLoader.Agent.KEU Renombrado a .VIR

G:\Archivos de programa\ANTIVIIRUS.EXE.VIR --> Eliminado.

G:\WINDOWS\INSTALLER\{096C4D28-3F5D-44A6-88F3-9842AD843D5C}\SETUPKBD.DLL --> Dropper.Agent.EYA Acceso Denegado.

G:\WINDOWS\INSTALLER\{E1214E46-7A78-404F-B30A-9F917E17424C}\KERNELSYS.DLL --> Dropper.Agent.EYA Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "ANTIVIIRUS"="G:\Archivos de programa\antiviirus.exe"

Eliminada Class, "{096C4D28-3F5D-44A6-88F3-9842AD843D5C}" -> G:\WINDOWS\Installer\{096c4d28-3f5d-44a6-88f3-9842ad843d5c}\SetupKbd.dll

Eliminada Class, "{39E6E4A6-E6C3-48D7-8D25-7E964D8CD46F}" -> G:\WINDOWS\dkxrstqxrw.dll

Eliminada Class, "{3C7F7F85-2AE2-4DC1-A96A-686618C39698}" -> G:\WINDOWS\Installer\{3c7f7f85-2ae2-4dc1-a96a-686618c39698}\zip.dll

Eliminada Class, "{9CF5CD0B-DED8-4AEC-9B00-80C9BCB9067D}" -> G:\WINDOWS\enlfxgw.dll

Eliminada Class, "{E1214E46-7A78-404F-B30A-9F917E17424C}" -> G:\WINDOWS\Installer\{e1214e46-7a78-404f-b30a-9f917e17424c}\KernelSys.dll

Eliminada Class, "{6F4FCA99-00EC-4FCB-98F4-0314169289AD}" -> G:\WINDOWS\btrklfr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Wed Mar 05 21:39:25 2008

EliStartPage v15.80 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Infectados\BTRKLFR.DLL --> Eliminado, AdWare.Agent.BN



Nº Total de Directorios: 6369

Nº Total de Ficheros: 51053

Nº de Ficheros Analizados: 19583

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Mar 05 21:44:07 2008

EliStartPage v15.80 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\WINDOWS\Installer\{e1214e46-7a78-404f-b30a-9f917e17424c}\KERNELSYS.DLL --> Acceso Denegado, Dropper.Agent.EYA (Reiniciar para Completar la Limpieza)

G:\WINDOWS\Installer\{096c4d28-3f5d-44a6-88f3-9842ad843d5c}\SETUPKBD.DLL --> Acceso Denegado, Dropper.Agent.EYA (Reiniciar para Completar la Limpieza)

G:\Infectados\BTRKLFR.DLL --> Eliminado, AdWare.Agent.BN

G:\Infectados\FQSPOGW.EXE --> Eliminado, AdWare.Agent.BN

G:\Infectados\ENLFXGW.DLL --> Eliminado, AdWare.Agent.BN(TB)

G:\Infectados\APDQNXP.DLL --> Eliminado, AdWare.Agent.BN

G:\Infectados\DKXRSTQXRW.DLL --> Eliminado, AdWare.Agent.BN(BHO)

G:\Infectados\KERNELSYS.DLL --> Eliminado, Dropper.Agent.EYA

G:\Infectados\SETUPKBD.DLL --> Eliminado, Dropper.Agent.EYA

G:\Infectados\ZIP.DLL --> Eliminado, Dropper.Agent.EYA

G:\Infectados\ANTIVIIRUS.VIR --> Eliminado, DownLoader.Agent.KEU



Nº Total de Directorios: 4223

Nº Total de Ficheros: 37476

Nº de Ficheros Analizados: 14109

Nº de Ficheros Infectados: 11

Nº de Ficheros Limpiados: 9

[msc hotline sat]

Pues date cuenta de que faltan eliminar dos:



EliStartPage v15.80 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\WINDOWS\Installer\{e1214e46-7a78-404f-b30a-9f917e17424c}\KERNELSYS.DLL --> Acceso Denegado, Dropper.Agent.EYA (Reiniciar para Completar la Limpieza)

G:\WINDOWS\Installer\{096c4d28-3f5d-44a6-88f3-9842ad843d5c}\SETUPKBD.DLL --> Acceso Denegado, Dropper.Agent.EYA (Reiniciar para Completar la Limpieza)



Mira tras reiniciar si ya se han eliminado estas dos DLL, que debian estar en uso cuando probaste el ELISTARA, y si aun estan mira si las puedes eliminar a mano (boton derecho -> eliminar) y sino ya te diriamos como.



saludos



ms, 6-3-2008

[guille92]

hola me presento soy guillermo de sevilla.



a pesar de utilizar el karpersky, el spybot, searck and destroy y el AVG, he conseguido quitar el fondo de escritorio rojo con el dichoso mensaje de privacy is in danger, quedandose en blanco el fondo de escrotorio, aunque sin dejarlo modificar por otro fondo de la galeria de imagenes.

ahora se me abren algunos banner diciendome que mi sistema está en peligro, que si el worm32, que si... yo creo que todo es publicidad.

aqui van los logs a ver si me podeis ayudar. gracias.



Thu Apr 10 00:18:49 2008

EliTriIP v4.60 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado



Thu Apr 10 00:19:09 2008

EliTriIP v4.60 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7138

Nº Total de Ficheros: 89834

Nº de Ficheros Analizados: 24030

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Apr 10 00:42:19 2008

EliTriIP v4.60 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 1066

Nº Total de Ficheros: 6605

Nº de Ficheros Analizados: 249

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Apr 10 00:42:59 2008

EliTriIP v4.60 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Apr 10 00:43:12 2008

EliStartPage v16.03 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\6L6W8.COM --> Eliminado, PWS-OnLineGames.AMVO

C:\GY.CMD --> Eliminado, PWS-OnLineGames.AMVO

C:\QWC.EXE --> Eliminado, PWS-OnLineGames.AMVO

C:\Documents and Settings\Guillermo\Escritorio\MIRC.EXE --> Eliminado, mIRC(chat)



Nº Total de Directorios: 7139

Nº Total de Ficheros: 90361

Nº de Ficheros Analizados: 14409

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Thu Apr 10 00:55:02 2008

EliStartPage v16.03 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\6L6W8.COM --> Eliminado, PWS-OnLineGames.AMVO

D:\GY.CMD --> Eliminado, PWS-OnLineGames.AMVO

D:\QWC.EXE --> Eliminado, PWS-OnLineGames.AMVO



Nº Total de Directorios: 1066

Nº Total de Ficheros: 6605

Nº de Ficheros Analizados: 65

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3





POR OTRO LADO EL HIJACK



Logfile of HijackThis v1.99.1

Scan saved at 0:59:02, on 10/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\All Users\Datos de programa\kxunclit\cvsxcdkx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\pspvideo9\pspVideo9.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\unepqrwz.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\ScsiAccess.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Cisco Systems\VPN Client\vpngui.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jucheck.exe

D:\Emule Downloadings\SPYWARE\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [Easycapturethumb] C:\Archivos de programa\Easy Capture & Thumbnail\ezcapthumb.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [SBI] C:\Documents and Settings\Guillermo\Configuración local\Archivos temporales de Internet\Content.IE5\8TIRGD6N\install_sbd_es[1].exe

O4 - HKLM\..\Run: [bm] "C:\Archivos de programa\Archivos comunes\BarreraIntegral\bm.exe" dm=http://barreraintegral.com ad=http://barreraintegral.com sd=http://bambino2.barreraintegral.com

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [PSPVideo9] C:\Archivos de programa\pspvideo9\pspVideo9.exe -t

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [nvaknnfp] C:\WINDOWS\system32\unepqrwz.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [gisrncbq] C:\WINDOWS\system32\khujktwv.exe

O4 - HKCU\..\Run: [vwjpdevf] C:\WINDOWS\system32\bcbivcdw.exe

O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Archivos de programa\VPN Client\vpngui.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVERTV2K\QuickTV.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www1.aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1889CDA2-0694-42B0-801B-8A6C104F3065}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{1889CDA2-0694-42B0-801B-8A6C104F3065}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{1889CDA2-0694-42B0-801B-8A6C104F3065}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: KbdRunOnce - {54cd1abf-4efb-4ac8-bd02-5ca50b77fdb7} - C:\WINDOWS\Installer\{54cd1abf-4efb-4ac8-bd02-5ca50b77fdb7}\KbdRunOnce.dll (file missing)

O21 - SSODL: qdnkewfa - {9C82F348-944E-482F-8826-77C998AE9E86} - C:\WINDOWS\qdnkewfa.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Archivos de programa\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

[msc hotline sat]

Pues gulle92, abre un nuevo Tema con tu caso, ya que este está a punto de cerrarse y tu infeccion parece ser de otro FAKE ALERT.



Paralelamente envianos estos ficheros para analizar:



C:\Documents and Settings\All Users\Datos de programa\kxunclit\cvsxcdkx.exe



C:\WINDOWS\system32\unepqrwz.exe



C:\Archivos de programa\Easy Capture & Thumbnail\ezcapthumb.exe



C:\Documents and Settings\Guillermo\Configuración local\Archivos temporales de Internet\Content.IE5\8TIRGD6N\install_sbd_es[1].exe



C:\WINDOWS\system32\khujktwv.exe



C:\WINDOWS\system32\bcbivcdw.exe



C:\WINDOWS\qdnkewfa.dll





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y seguiremos donde abras el nuevo Tema, en el que debes empezar posteando el SPROCLOG.TXT generado por el SPROCES, pues los FAKE ALERT acostumbran a esconderse en zonas del registro no visibles en el log del HJT:




[quote]SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]

saludos



ms, 10-04-2008