Hola gente,
tengo un pequeño problema en el ordenador del curre, a ver si me podeis ayudar. Le he pasado el elistara y me ha dado dos mensajes de error, el primero es el que da titulo a este post, y el segundo : No detectada utilidad Elinotf.dll
Está tan infectado que no me deja navegar desde el mismo ordenador. He tenido que bajar el elistara desde otro y pasarlo al infectado con un pendrive. Le paso el Adware? algun otro mejor?
Muchas gracias de antemano!
SISTEMA INFECTADO POR EL FLUSH o DNSCHANGER (SOLUCIONADO)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Si te dice que le falta el ELINOTIF ...
https://foros.zonavirus.com/viewtopic.php?f=5&t=18469
saludos
ms, 21-06-2007
saludos
ms, 21-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Bueno, ya he incrustado el .dll que me pedía y le he pasado el elistara de nuevo. Me ha dado el mensaje de que La I.P. no se corresponde con el servidor DNS. Por lo demás os dejo aqui el txt :
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Mar 27 10:41:28 2007
EliStartPage v13.61 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinSys%\LogFiles"
Tue Mar 27 10:41:50 2007
EliStartPage v13.61 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor
C:\Archivos de programa\ThinkPad\PkgMgr\PKGMGR.EXE --> Eliminado, CommanderNET (TB)
C:\Documents and Settings\jose\Escritorio\ROBERTO\Integra2\E2081NEWCOREMICA.DLL --> Eliminado, Ailis
C:\Documents and Settings\jose\Escritorio\ROBERTO\Integra2\E2081NEWCOREMIES.DLL --> Eliminado, Ailis
C:\Documents and Settings\jose\Escritorio\ROBERTO\Integra2\NEWCOREMICA.DLL --> Eliminado, Ailis
C:\Documents and Settings\jose\Escritorio\ROBERTO\Integra2\NEWCOREMIES.DLL --> Eliminado, Ailis
C:\Documents and Settings\jose\Escritorio\ROBERTO\Integra2\RECMIES.DLL --> Eliminado, Ailis
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020374.DLL --> Eliminado, CyDoor
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020375.EXE --> Eliminado, CommanderNET (TB)
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020376.DLL --> Eliminado, Ailis
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020377.DLL --> Eliminado, Ailis
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020378.DLL --> Eliminado, Ailis
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020379.DLL --> Eliminado, Ailis
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020380.DLL --> Eliminado, Ailis
C:\WINDOWS\twain_32\escndv\es001b\ffmt\EPIPD.DLL --> Eliminado, NavHelper (BHO)
Thu Jun 21 10:18:48 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[SharedTaskScheduler "{e7aff349-39e1-4a96-a13d-24983440b44a}"]
Por favor, envienos una muestra del fichero
C:\Muestras\IGKVF.DLL
a "virus@satinfo.es ". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\IESMN.EXE.Muestra EliStartPage v14.24
a "virus@satinfo.es ". Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IESMN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\IESPLG.DLL.Muestra EliStartPage v14.24
a "virus@satinfo.es ". Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IESPLG.DLL --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\IESMIN.EXE.Muestra EliStartPage v14.24
a "virus@satinfo.es ". Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IESMIN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\IMSMAIN.EXE.Muestra EliStartPage v14.24
a "virus@satinfo.es ". Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IMSMAIN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\IMSMN.EXE.Muestra EliStartPage v14.24
a "virus@satinfo.es ". Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IMSMN.EXE --> Eliminado
C:\Documents and Settings\All Users\Menú Inicio\Online Security Guide.url --> Eliminado (Fichero Complementario).
C:\Documents and Settings\All Users\Menú Inicio\Security Troubleshooting.url --> Eliminado (Fichero Complementario).
C:\Documents and Settings\jose\Favoritos\Online Security Test.url --> Eliminado (Fichero Complementario).
Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.114.19,85.255.112.158
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (E)
open=AutoRun.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es ". Gracias.
Detectado AUTORUN.INF en la Unidad (F)
open=LaunchU3.exe -a
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es ". Gracias.
Thu Jun 21 10:21:47 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020381.DLL --> Eliminado, NavHelper (BHO)
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)
Thu Jun 21 10:30:24 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[SharedTaskScheduler "{e7aff349-39e1-4a96-a13d-24983440b44a}"]
Por favor, envienos una muestra del fichero
C:\Muestras\IGKVF.DLL
a "virus@satinfo.es ". Gracias.
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.114.19,85.255.112.158
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (E)
open=AutoRun.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es ". Gracias.
Detectado AUTORUN.INF en la Unidad (F)
open=LaunchU3.exe -a
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es ". Gracias.
Thu Jun 21 10:30:41 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)
Thu Jun 21 11:33:58 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[SharedTaskScheduler "{e7aff349-39e1-4a96-a13d-24983440b44a}"]
Por favor, envienos una muestra del fichero
C:\Muestras\IGKVF.DLL
a "virus@satinfo.es ". Gracias.
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.114.19,85.255.112.158
Detectado AUTORUN.INF en la Unidad (F)
open=LaunchU3.exe -a
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es ". Gracias.
Thu Jun 21 11:34:35 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Instalada Utilidad "ELINOTIF.DLL"
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Mar 27 10:41:28 2007
EliStartPage v13.61 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinSys%\LogFiles"
Tue Mar 27 10:41:50 2007
EliStartPage v13.61 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor
C:\Archivos de programa\ThinkPad\PkgMgr\PKGMGR.EXE --> Eliminado, CommanderNET (TB)
C:\Documents and Settings\jose\Escritorio\ROBERTO\Integra2\E2081NEWCOREMICA.DLL --> Eliminado, Ailis
C:\Documents and Settings\jose\Escritorio\ROBERTO\Integra2\E2081NEWCOREMIES.DLL --> Eliminado, Ailis
C:\Documents and Settings\jose\Escritorio\ROBERTO\Integra2\NEWCOREMICA.DLL --> Eliminado, Ailis
C:\Documents and Settings\jose\Escritorio\ROBERTO\Integra2\NEWCOREMIES.DLL --> Eliminado, Ailis
C:\Documents and Settings\jose\Escritorio\ROBERTO\Integra2\RECMIES.DLL --> Eliminado, Ailis
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020374.DLL --> Eliminado, CyDoor
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020375.EXE --> Eliminado, CommanderNET (TB)
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020376.DLL --> Eliminado, Ailis
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020377.DLL --> Eliminado, Ailis
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020378.DLL --> Eliminado, Ailis
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020379.DLL --> Eliminado, Ailis
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020380.DLL --> Eliminado, Ailis
C:\WINDOWS\twain_32\escndv\es001b\ffmt\EPIPD.DLL --> Eliminado, NavHelper (BHO)
Thu Jun 21 10:18:48 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[SharedTaskScheduler "{e7aff349-39e1-4a96-a13d-24983440b44a}"]
Por favor, envienos una muestra del fichero
C:\Muestras\IGKVF.DLL
a "
Por favor, envienos una muestra del fichero
C:\Muestras\IESMN.EXE.Muestra EliStartPage v14.24
a "
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IESMN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\IESPLG.DLL.Muestra EliStartPage v14.24
a "
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IESPLG.DLL --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\IESMIN.EXE.Muestra EliStartPage v14.24
a "
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IESMIN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\IMSMAIN.EXE.Muestra EliStartPage v14.24
a "
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IMSMAIN.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\IMSMN.EXE.Muestra EliStartPage v14.24
a "
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IMSMN.EXE --> Eliminado
C:\Documents and Settings\All Users\Menú Inicio\Online Security Guide.url --> Eliminado (Fichero Complementario).
C:\Documents and Settings\All Users\Menú Inicio\Security Troubleshooting.url --> Eliminado (Fichero Complementario).
C:\Documents and Settings\jose\Favoritos\Online Security Test.url --> Eliminado (Fichero Complementario).
Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.114.19,85.255.112.158
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (E)
open=AutoRun.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "
Detectado AUTORUN.INF en la Unidad (F)
open=LaunchU3.exe -a
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "
Thu Jun 21 10:21:47 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\System Volume Information\_restore{5AA04375-E2F6-43A0-AB4B-0F08C902AC40}\RP206\A0020381.DLL --> Eliminado, NavHelper (BHO)
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)
Thu Jun 21 10:30:24 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[SharedTaskScheduler "{e7aff349-39e1-4a96-a13d-24983440b44a}"]
Por favor, envienos una muestra del fichero
C:\Muestras\IGKVF.DLL
a "
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.114.19,85.255.112.158
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (E)
open=AutoRun.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "
Detectado AUTORUN.INF en la Unidad (F)
open=LaunchU3.exe -a
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "
Thu Jun 21 10:30:41 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)
Thu Jun 21 11:33:58 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[SharedTaskScheduler "{e7aff349-39e1-4a96-a13d-24983440b44a}"]
Por favor, envienos una muestra del fichero
C:\Muestras\IGKVF.DLL
a "
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.114.19,85.255.112.158
Detectado AUTORUN.INF en la Unidad (F)
open=LaunchU3.exe -a
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "
Thu Jun 21 11:34:35 2007
EliStartPage v14.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Instalada Utilidad "ELINOTIF.DLL"
Aqui os pongo tambien lo del Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 12:31:12, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\WINDOWS\system32\CAPM4RSK.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\Archivos de programa\LevelOne Projector Server\ShowService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\ARCHIV~1\MI6841~1\MSSQL\binn\sqlagent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\tp4serv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Archivos de programa\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Archivos de programa\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\ARCHIV~1\ThinkPad\CONNEC~1\QCTray.exe
C:\ARCHIV~1\ThinkPad\CONNEC~1\QCWLIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\KeyConfiguration\Password.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4LAK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4SWK.EXE
C:\ARCHIV~1\Intel\Wireless\Bin\1XConfig.exe
G:\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.terra.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {CDE8EAB9-CEF3-4885-B12F-26960A25C800} - C:\Archivos de programa\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOCUME~1\jose\CONFIG~1\Temp\juan.dll
O3 - Toolbar: Protection Bar - {DF4E7A0C-E233-4906-B4C1-A404356541FF} - C:\Archivos de programa\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Archivos de programa\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [UC_Start] C:\Archivos de programa\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Archivos de programa\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\ARCHIV~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QCTray] C:\ARCHIV~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [QCWLIcon] C:\ARCHIV~1\ThinkPad\CONNEC~1\QCWLIcon.exe
O4 - HKLM\..\Run: [FinishOptions] C:\DOCUME~1\jose\CONFIG~1\Temp\hpbinxst.exe
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\yoxazei.dll,TurnOn2
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [VodafoneUSBPP.exe] C:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe windows
O4 - HKCU\..\Run: [OM_Monitor] C:\DOCUMENTOS\Monitor.exe -NoStart
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Password.lnk = C:\Archivos de programa\KeyConfiguration\Password.exe
O4 - Global Startup: Ventana de estado de Canon iR1510-1670.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4LAK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://www.inquiero.com/inquiero/mod/setup/ntractivex118_24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CE1401B-F11F-4794-85EF-1A1BAB789BF9}: NameServer = 85.255.114.19,85.255.112.158
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2104116-75D2-4C90-A24C-6A650EC64C41}: NameServer = 85.255.114.19,85.255.112.158
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.19 85.255.112.158
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.19 85.255.112.158
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.19 85.255.112.158
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ShowService - Digirose co. - C:\Archivos de programa\LevelOne Projector Server\ShowService.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
Logfile of HijackThis v1.99.1
Scan saved at 12:31:12, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\WINDOWS\system32\CAPM4RSK.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\Archivos de programa\LevelOne Projector Server\ShowService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\ARCHIV~1\MI6841~1\MSSQL\binn\sqlagent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\tp4serv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Archivos de programa\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Archivos de programa\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\ARCHIV~1\ThinkPad\CONNEC~1\QCTray.exe
C:\ARCHIV~1\ThinkPad\CONNEC~1\QCWLIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\KeyConfiguration\Password.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4LAK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4SWK.EXE
C:\ARCHIV~1\Intel\Wireless\Bin\1XConfig.exe
G:\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {CDE8EAB9-CEF3-4885-B12F-26960A25C800} - C:\Archivos de programa\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOCUME~1\jose\CONFIG~1\Temp\juan.dll
O3 - Toolbar: Protection Bar - {DF4E7A0C-E233-4906-B4C1-A404356541FF} - C:\Archivos de programa\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Archivos de programa\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [UC_Start] C:\Archivos de programa\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Archivos de programa\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\ARCHIV~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QCTray] C:\ARCHIV~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [QCWLIcon] C:\ARCHIV~1\ThinkPad\CONNEC~1\QCWLIcon.exe
O4 - HKLM\..\Run: [FinishOptions] C:\DOCUME~1\jose\CONFIG~1\Temp\hpbinxst.exe
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\yoxazei.dll,TurnOn2
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [VodafoneUSBPP.exe] C:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe windows
O4 - HKCU\..\Run: [OM_Monitor] C:\DOCUMENTOS\Monitor.exe -NoStart
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Password.lnk = C:\Archivos de programa\KeyConfiguration\Password.exe
O4 - Global Startup: Ventana de estado de Canon iR1510-1670.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4LAK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CE1401B-F11F-4794-85EF-1A1BAB789BF9}: NameServer = 85.255.114.19,85.255.112.158
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2104116-75D2-4C90-A24C-6A650EC64C41}: NameServer = 85.255.114.19,85.255.112.158
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.19 85.255.112.158
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.19 85.255.112.158
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.19 85.255.112.158
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ShowService - Digirose co. - C:\Archivos de programa\LevelOne Projector Server\ShowService.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
De entrada el infosat indica que tienes los servidores de DNS apuntando a unos supuestamente mailiciosos de Ukraina:
"Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.114.19,85.255.112.158 "
85.255.114.19 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.158 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE
CONFGDNS.EXE
http://www.zonavirus.com/descargas/confgdns.asp
Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas
aparte, del log de HJT,
Enviar estos ficheros para analizar:
C:\Archivos de programa\KeyConfiguration\Password.exe
C:\DOCUME~1\jose\CONFIG~1\Temp\juan.dll
C:\Archivos de programa\Video ActiveX Access\iesbpl.dll
C:\DOCUME~1\jose\CONFIG~1\Temp\hpbinxst.exe
C:\WINDOWS\system32\yoxazei.dll,TurnOn2
eliminar estas claves:
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOCUME~1\jose\CONFIG~1\Temp\juan.dll (posible VUNDO!)
O3 - Toolbar: Protection Bar - {DF4E7A0C-E233-4906-B4C1-A404356541FF} - C:\Archivos de programa\Video ActiveX Access\iesbpl.dll
O2 - BHO: (no name) - {CDE8EAB9-CEF3-4885-B12F-26960A25C800} - C:\Archivos de programa\Video ActiveX Access\iesplg.dll (file missing)
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 21-06-2007
"Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.114.19,85.255.112.158 "
85.255.114.19 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.158 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE
CONFGDNS.EXE
Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas
aparte, del log de HJT,
Enviar estos ficheros para analizar:
C:\Archivos de programa\KeyConfiguration\Password.exe
C:\DOCUME~1\jose\CONFIG~1\Temp\juan.dll
C:\Archivos de programa\Video ActiveX Access\iesbpl.dll
C:\DOCUME~1\jose\CONFIG~1\Temp\hpbinxst.exe
C:\WINDOWS\system32\yoxazei.dll,TurnOn2
eliminar estas claves:
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOCUME~1\jose\CONFIG~1\Temp\juan.dll (posible VUNDO!)
O3 - Toolbar: Protection Bar - {DF4E7A0C-E233-4906-B4C1-A404356541FF} - C:\Archivos de programa\Video ActiveX Access\iesbpl.dll
O2 - BHO: (no name) - {CDE8EAB9-CEF3-4885-B12F-26960A25C800} - C:\Archivos de programa\Video ActiveX Access\iesplg.dll (file missing)
->
saludos
ms, 21-06-2007
Última edición por msc hotline sat el 21 Jun 2007, 14:02, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Cuando lo hayas visto, avisa... :lol:
ms.
ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
[quote="msc hotline sat"]Cuando lo hayas visto, avisa...:lol:
ms.[/quote]
jeje, ....ya he cambiado los dns y he limpiado las 3 lineas con el hijack. esto es lo que me ha dado:
Logfile of HijackThis v1.99.1
Scan saved at 15:46:44, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\tp4serv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Archivos de programa\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Archivos de programa\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\ARCHIV~1\ThinkPad\CONNEC~1\QCTray.exe
C:\ARCHIV~1\ThinkPad\CONNEC~1\QCWLIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Archivos de programa\KeyConfiguration\Password.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4LAK.EXE
C:\WINDOWS\system32\CAPM4RSK.EXE
C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4SWK.EXE
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\Archivos de programa\LevelOne Projector Server\ShowService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\ARCHIV~1\MI6841~1\MSSQL\binn\sqlagent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ARCHIV~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe
C:\Documents and Settings\jose\Datos de programa\U3\03F0EA60A173096C\LaunchPad.exe
G:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Archivos de programa\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [UC_Start] C:\Archivos de programa\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Archivos de programa\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\ARCHIV~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QCTray] C:\ARCHIV~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [QCWLIcon] C:\ARCHIV~1\ThinkPad\CONNEC~1\QCWLIcon.exe
O4 - HKLM\..\Run: [FinishOptions] C:\DOCUME~1\jose\CONFIG~1\Temp\hpbinxst.exe
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\yoxazei.dll,TurnOn2
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [VodafoneUSBPP.exe] C:\Archivos de programa\Huawei technologies\Vodafone Mobile Connect Modem\VodafoneUSBPP.exe windows
O4 - HKCU\..\Run: [OM_Monitor] C:\DOCUMENTOS\Monitor.exe -NoStart
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Password.lnk = C:\Archivos de programa\KeyConfiguration\Password.exe
O4 - Global Startup: Ventana de estado de Canon iR1510-1670.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4LAK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CE1401B-F11F-4794-85EF-1A1BAB789BF9}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2104116-75D2-4C90-A24C-6A650EC64C41}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.19 85.255.112.158
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.19 85.255.112.158
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.19 85.255.112.158
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ShowService - Digirose co. - C:\Archivos de programa\LevelOne Projector Server\ShowService.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
Con el spybot eliminé un archivo llamado ChagerDns o algo así :shock: . He instalado el AVG y he limpiado concienzudamente con el Ad-aware y el Spaybot. Ahora va de maravilla y no salen mensajes de error. No obstante estaré al loro. :wink:
MUCHAS GRACIAS POR VUESTRA AYUDA , jejeje.... así da gusto.:D
MUCHAS GRACIAS POR VUESTRA AYUDA , jejeje.... así da gusto.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues solucionado el problema, procedemos a cerrar el Tema
saludos
ms, 21-06-2007
saludos
ms, 21-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Postcierre, al mirar el log del HJT...
Pues no has hecho buena limpieza, revisa el log y mira en las O17 que persisten tres claves apuntando a los servidores de Inhoster...
Y no sé lo que ha hecho el Spybot, pero si te habias bajado nuestra utilidad CONFGDNS, pruebala para restaurar dichas claves, indicando la IP de los servidores correctos
De todas formas como que dices ya todo va bien, tenlo en cuenta a titulo de informacion.
saludos
ms, 21-06-2007
Pues no has hecho buena limpieza, revisa el log y mira en las O17 que persisten tres claves apuntando a los servidores de Inhoster...
Y no sé lo que ha hecho el Spybot, pero si te habias bajado nuestra utilidad CONFGDNS, pruebala para restaurar dichas claves, indicando la IP de los servidores correctos
De todas formas como que dices ya todo va bien, tenlo en cuenta a titulo de informacion.
saludos
ms, 21-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online