No puedo eliminar troyano: win32.small.eil

spower · Mensaje por **spower** » 25 Jun 2007, 17:38

Hola, me han recomendado esta web, porque no consigo solucionar el problema por ningún sitio, ante todo, decir que soy un poco negada para estas cosas... pero si me explicais en modo "Barrio Sésamo"... quién sabe... :oops:

Le he pasadoa mi PC el Kaspersky y me ha desinfectado 24 virus, entre worms, troyanos, etc... Pero aún me deja un troyano que no me puede eliminar.

- El archivo es: tapwjr76.dll

Kaspersky notifica:

"Detectado: Un caballo de Troya Trojan-downloader.win32.small.eil"

"no se puede desinfectado: bloqueo por alguna aplicación. Desbloquee este Archivo y elija una acción"

:? ¿Qué puedo hacer para poder eliminarlo?

Muchas gracias de antemano

Mensaje por **msc hotline sat** » 25 Jun 2007, 18:13

De entrada prueba el ELISTARA:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

Y si en el informe no hubiera detectado el fichero de marras, envianoslo de todas formas para analizar:

tapwjr76.dll

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 25-06-2007

spower · Mensaje por **spower** » 25 Jun 2007, 20:52

Mon Jun 25 17:43:29 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Entrada Eliminada [HKCU\...\Run] "License Manager"=""C:\Archivos de programa\License_Manager\license_manager.exe " /silent"

Entrada Eliminada [HKLM\...\Run] "System"="C:\Archivos de programa\Archivos comunes\system\Updaterun.exe"

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

Eliminada Class, "{E1D20694-74D9-472D-AF03-08C26173A67F}" -> NULL1

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

A ver si me podeis ayudar...

Muchas gracias

Mensaje por **msc hotline sat** » 25 Jun 2007, 21:30

Bueno, lo que tiene es el CiD, y para él decimos:

[quote]
Pero a partir de ahora, a todos los afectados por el CiD, lo primero será tratar de desinstalar el programa desde Inicio -> Panel de Control -> Agregar o Quitar programas , luego pasar el ELISTARA y por ultimo y en modo seguro, lanzar el HJT y postearnos el log resultante.
[/quote]

Aparte, envienos el fichero que indicabamos

tapwjr76.dll

Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 25-06-2007

Mensaje por **msc hotline sat** » 25 Jun 2007, 21:31

Bueno, lo que tiene es el CiD, y para él decimos:

[quote]
Pero a partir de ahora, a todos los afectados por el CiD, lo primero será tratar de desinstalar el programa desde Inicio -> Panel de Control -> Agregar o Quitar programas , luego pasar el ELISTARA y por ultimo y en modo seguro, lanzar el HJT y postearnos el log resultante.
[/quote]

Aparte, envienos el fichero que indicabamos

tapwjr76.dll

Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y recuerde que para lanzar el HJT y posteranos el log:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 25-06-2007

spower · Mensaje por **spower** » 26 Jun 2007, 02:49

En el panel de control no encuentro ningún programa que tenga algo relacionado con el troyano... :?

- El log de ELISTARA:

Tue Jun 26 01:36:23 2007

EliStartPage v14.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

OPEN=MafiaLauncher.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (H)

open=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Jun 26 01:37:37 2007

EliStartPage v14.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jun 26 01:45:58 2007

EliStartPage v14.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

- En un análisis posterior me eliminó seis archivos:

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch(inf)

C:\WINDOWS\Downloaded Program Files\IALDR32.INF --> Eliminado, Dialer-InstantAccess(inf)

C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\plug_ins\ImageViewer\Lib\SVGBIB.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\Archivos de programa\DivX\Google\Firefox\FFINSTALLER.EXE --> Eliminado, Yazzle1122

C:\System Volume Information\_restore{6A019DAC-FCEB-4177-9E65-F1A762A3F11E}\RP402\A0266845.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\System Volume Information\_restore{6A019DAC-FCEB-4177-9E65-F1A762A3F11E}\RP402\A0266846.EXE --> Eliminado, Yazzle1122

- El log de HJT:

Logfile of HijackThis v1.99.1

Scan saved at 1:11:12, on 26/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1.PP\CONFIG~1\Temp\Rar$EX01.015\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: LpkHlpr Class - {00C104F7-0F5C-470C-ABCF-A5B2E70752F1} - C:\WINDOWS\system32\wpphlp.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Archivos de programa\Archivos comunes\CPUSH\cpush0.dll

O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar4.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [PCTVRemote] C:\Archivos de programa\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [SMC] C:\SMC\SMC.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [SideWinderTrayV4] C:\ARCHIV~1\MI948F~1\GAMECO~1\common\swtrayv4.exe

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [H2O] C:\Archivos de programa\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [zlobxjcp] D;]XJOEPXT]tztufn43]Svoemm43/fyf!#D;]XJOEPXT]tztufn43]deoqsi/emm#-Tubsu

O4 - HKLM\..\Run: [Sysmppcv] "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\SysTdSvr.dll",Start

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [AVP] "G:\Kaspersky2\avp.exe"

O4 - HKLM\..\RunOnce: [tapwjr76] %systemroot%\system32\Rundll32.exe %systemroot%\system32\tapwjr76.dll DllUnregisterServer

O4 - HKLM\..\RunOnce: [dblapdrv] %systemroot%\system32\regsvr32.exe /s %systemroot%\system32\wpphlp.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: Yahoo! Backgammon - http://download2.games.yahoo.com/games/clients/y/at1_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstFred.ocx

O16 - DPF: {30CADB40-6FD7-433F-BF0D-4827CA7B5BDF} (FavImport Class) - https://favorites.live.com/cab/ImportAx.cab

O16 - DPF: {321F38B6-7E5F-470E-B58C-927523B7AF92} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1069_em_XP.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://yo46.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1068_em_XP.cab

O16 - DPF: {5FD9726A-4977-449D-8352-25FDD8A510B5} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1067_em_XP.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcDcToday.ocx

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u1-windows-i586-jc.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstBanr.ocx

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcPreview.ocx

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: AVP - Unknown owner - G:\Kaspersky2\avp.exe" -r (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\julio\CONFIG~1\Temp\hpdj.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

- El archivo tapwjr76.dll aún persiste en el equipo, procedo a enviarselo.

Gracias.

Saludos

Mensaje por **msc hotline sat** » 26 Jun 2007, 08:10

Envianos estos ficheros para analizar:

C:\WINDOWS\system32\wpphlp.dll

C:\Archivos de programa\Archivos comunes\CPUSH\cpush0.dll

C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll

C:\WINDOWS\system32\SysTdSvr.dll

y elimina estas claves:

O2 - BHO: LpkHlpr Class - {00C104F7-0F5C-470C-ABCF-A5B2E70752F1} - C:\WINDOWS\system32\wpphlp.dll

O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Archivos de programa\Archivos comunes\CPUSH\cpush0.dll

O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll

O4 - HKLM\..\Run: [Sysmppcv] "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\SysTdSvr.dll",Start

O16 - DPF: {321F38B6-7E5F-470E-B58C-927523B7AF92} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1069_em_XP.cab

O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1068_em_XP.cab

O16 - DPF: {5FD9726A-4977-449D-8352-25FDD8A510B5} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1067_em_XP.cab

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Claves atipicas que pueden estar relacionadas ??? :

O4 - HKLM\..\Run: [zlobxjcp] D;]XJOEPXT]tztufn43]Svoemm43/fyf!#D;]XJOEPXT]tztufn43]deoqsi/emm#-Tubsu

O4 - HKLM\..\RunOnce: [tapwjr76] %systemroot%\system32\Rundll32.exe %systemroot%\system32\tapwjr76.dll DllUnregisterServer

O4 - HKLM\..\RunOnce: [dblapdrv] %systemroot%\system32\regsvr32.exe /s %systemroot%\system32\wpphlp.dll

saludos

ms, 26-06-2007

spower · Mensaje por **spower** » 26 Jun 2007, 13:21

Bien, os he enviado los ficheros que me pedíais, pero no he podido adjuntar el archivo tapwjr76.dll aun incorporándolo en rar con la contraseña y desactivando el antivirus, el correo me detecta el virus y no me permite adjuntarlo :?

También he eliminado las claves que decíais, dejando las que posiblemente estén relacionadas; a esperas de nuevas noticias.

Saludos

Mensaje por **msc hotline sat** » 26 Jun 2007, 13:32

Eso no me lo pùedo creer !!! :lol:

"pero no he podido adjuntar el archivo tapwjr76.dll aun incorporándolo en rar con la contraseña y desactivando el antivirus, el correo me detecta el virus"

Desde hace mas de 15 años cada dia enviamos a McAfee muestras infectadas en RAR con password VIRUS, y ninguna ha sido interceptada...

Veras, el password no es otra cosa que una encriptacion de todo el fichero, con lo que ni el mas guapo lo puede detectar !

Hace 60 años, en la 2ª Guerra Mundial, los nazis enviaron a sus submarinos, mensajes encriptados con el ENIGMA y algunos aun hoy estan intentando desencriptarlos, para lo que utilizan unos cuantos miles de ordenadores procesando en paralelo y el pasado año se logró desencriptar uno de ellos, asi que no creo que un simple antivirus detecte un virus en un fichero empaquetadio con password a no ser que supiera el password, lo cual no es el caso.

Con el WINZIP, ve a opciones avanzadas y alli selecciona "empaquetar con password", y utiliza el nombre de VIRUS para el mismo, y eso hazlo o en modo seguro o con el antivirus desactivado, y, tras reiniciar en modo normal, debes poder anexar el fichero empaquetado sin ser interceptado.

Miro a ver que es eso del tapwjr76.dll:

Como sea que es un malware, independientemente del envio del fichero, mira de renombrarl su extension a .VIR y tras reiniciar eliminar esta clave:

O4 - HKLM\..\RunOnce: [tapwjr76] %systemroot%\system32\Rundll32.exe %systemroot%\system32\tapwjr76.dll DllUnregisterServer

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 26-06-2007

spower · Mensaje por **spower** » 26 Jun 2007, 15:01

Jajaja, perdona, habría sido un error mío, lo he vuelto a intentar y ya lo he podido enviar sin problemas.

Al intentar cambiar la extensión a .VIR no me deja, notifica que no se puede cambiar el nombre porque está siendo utilizado por otra persona o programa... :?

Gracias por su paciencia...

Saludos

Claudia34 · Mensaje por **Claudia34** » 26 Jun 2007, 15:41

Pues hazlo en modo a prueba de fallos a ver si te da resultado. Saludos.

Mensaje por **msc hotline sat** » 26 Jun 2007, 16:21

Te diría como lograrlo, que es arrancando en consola de recuperacion, pero si nos has enviado ya el fichero para analizar, te será mas facil probar la utilidad correspondiente...

A ver si esta misma tarde nos da tiempo de hacerla...

saludos

ms, 16-06-2007

Mensaje por **msc hotline sat** » 28 Jun 2007, 12:08

Pues han sido procesadas las muestras y todas menos una ya se les ha visto el plumero, ya a la que no, por ser muy pequeña (menos de 12 KB) hemos tenido que recurri a la informacion de PREV de ayer, que corresponde a dicho elemento, por lo que se controla como tal

ms.

spower · Mensaje por **spower** » 28 Jun 2007, 15:28

Ok, me alegro de que vayan siendo controladas :)

Espero que haya soluciones. Muchas gracias.

Saludos

Mensaje por **msc hotline sat** » 28 Jun 2007, 16:03

Todas ya han sido implementadas a la version 14.30 que estamos haciendo del ELISTARA.

Antes de las 20 h GMT se subirá dicha version a esta web para evaluacion, la pruebas y nos informas del resultado, gracias:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 28-06-2007

spower · Mensaje por **spower** » 29 Jun 2007, 20:18

Hola, pues el elistar lo ha reconocido, pero no ha podido eliminar... :?

C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\PCTOOLS.DLL --> Eliminado, Cinmus(BHO)

C:\System Volume Information\_restore{6A019DAC-FCEB-4177-9E65-F1A762A3F11E}\RP406\A0267069.DLL --> Eliminado, BaiduHelp(BHO)

C:\System Volume Information\_restore{6A019DAC-FCEB-4177-9E65-F1A762A3F11E}\RP406\A0267077.DLL --> Eliminado, AdClicker.BJ(BHO)

C:\System Volume Information\_restore{6A019DAC-FCEB-4177-9E65-F1A762A3F11E}\RP409\A0267148.DLL --> Eliminado, Malware.Systdsvr

C:\System Volume Information\_restore{6A019DAC-FCEB-4177-9E65-F1A762A3F11E}\RP418\A0272179.DLL --> Eliminado, Malware.Systdsvr

C:\System Volume Information\_restore{6A019DAC-FCEB-4177-9E65-F1A762A3F11E}\RP418\A0272180.DLL --> Eliminado, Cinmus(BHO)

Fri Jun 29 19:07:09 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

Fri Jun 29 19:12:57 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (H)

open=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Jun 29 19:13:06 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\SYSTEM32\TAPWJR76.DLL --> Acceso Denegado, DownLoader.Small.EIL

C:\WINDOWS\SYSTEM32\WPPHLP.DLL --> Acceso Denegado, BaiduHelp(BHO)

Fri Jun 29 19:20:20 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WPPHLP.DLL --> BaiduHelp(BHO) Acceso Denegado.

Eliminada Class, "{00C104F7-0F5C-470C-ABCF-A5B2E70752F1}" -> C:\WINDOWS\system32\wpphlp.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (H)

open=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Jun 29 19:21:00 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\SYSTEM32\TAPWJR76.DLL --> Acceso Denegado, DownLoader.Small.EIL

C:\WINDOWS\SYSTEM32\WPPHLP.DLL --> Acceso Denegado, BaiduHelp(BHO)

Gracias, saludos

Mensaje por **msc hotline sat** » 01 Jul 2007, 13:31

Pues mueva estos ficheros a la papelera, con un CTRL X -> CTRL V y luego vaciela y tras ello, reinice y vuelva a pasar el ELISTARA para eliminar las claves una vez ya no existan estos marranos.

y ojo con esto que es muy importante :

"Detectado AUTORUN.INF en la Unidad (H)

open=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF"

Si esta unidad H es un pendrive,. ojo que esta infectado !!!

Vea que se autoejecuta un AUTORUN.EXE solo por enchufarlo al USB, y esto es muy sospechoso

Mire de enviarnoslo junto con el AUTORUN.INF para controlarlos y eliminarlos, del pendrive y de los discos duros que haya infectado ...

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 1-07-2007

spower · Mensaje por **spower** » 01 Jul 2007, 16:43

:evil: Estos bichejos se están haciendo de rogar...

Al intentar mover los ficheros a la papelera:

"No se puede mover...: Los nombres de archivo de origen y destino son idénticos"

¿puedo hacer algo al respecto? :?

*Lo del autorun, solucionado :wink:

Sun Jul 01 15:43:50 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Jul 01 15:43:57 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\SYSTEM32\TAPWJR76.DLL --> Acceso Denegado, DownLoader.Small.EIL

C:\WINDOWS\SYSTEM32\WPPHLP.DLL --> Acceso Denegado, BaiduHelp(BHO)

Saludos

Mensaje por **msc hotline sat** » 01 Jul 2007, 18:24

Al reves de lo que le decimos:

el AUTORUN.EXE le pedimos que nos lo envie, para poder implementar su control en nuestras utilidades !!! :

[quote]

"Detectado AUTORUN.INF en la Unidad (H)

open=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF"

Mire de enviarnoslo junto con el AUTORUN.INF para controlarlos y eliminarlos, del pendrive y de los discos duros que haya infectado ...

Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[/quote]

en cambio lo otro debe ser facil, pruebelo arrancando en modo seguro, y lo que nos dice, no tiene sentido:

"·Al intentar mover los ficheros a la papelera:

"No se puede mover...: Los nombres de archivo de origen y destino son idénticos" "

Mover un archivo a la papelera con CTRL-X y CTRL-V y luego vaciar la papelera... pruebelo copiandose cualquier otro fichero al escritorio y pruebe de moverlo a la papelera de la forma indicada, a ver si solo le pasa con los indicados ???

saludos

ms, 1-07-2007