Ayuda porfavor VIRUS TROYANO SPYWARE AA:s

pikashu · Mensaje por **pikashu** » 23 Jun 2007, 00:00

Ola .. antes ke nada felicitarllos por la pag... he leido algunos temas que me han sacado de apuro...

bueno.. yo no entiendo mucho de computacion solo lo normal o un poco mas... me compre un pc hace muy poco (un mes y medio)

y ya tengo problemas con virus.

primero.. tengo un antivirus.. al ke se actualiza todas las semanas(NOD32).

Un antispyware que me recomendaron (adware se) y por estapagina estuve leyendo y tambien e conseguido el ELISTARA.

pero aun asi los errores siguen..

Comenzaron con no abrirme paginas como Gmail .. google.cl y demases...

luego muchos errores en la barra del menu donde aparece la hora.. con signos de esclamaciones. Luego un error grande en la pantalla donde dice que debo descargarme un antispyware..

le pongo que NO o que SI y siempre se me abre una pagina.. donde salen promociones a programas para supuestamente solucionar mi error...eso me desespera.. cada vezque estoy trabajando me minimiza todas mis ventanas para salir este error.. aveces dejo mi pc ensendido y cuando vuelvo esta lleno de estas paginas abiertas.. (he encontrado hasta cien paginas).

Por otro lado el NOD32 me lanza que a contrado una infeccion en la memoria operativa.. y que no puede desinfectarni borrar el archivo...

otros errores que me an pasado y supongo que son por troyanos o cosas asi.. Se me cambia la ora del pc sola... Se me pone un fondo de pantalla de color rojo chillon que por mas que lo cambie.vuelve a aparecer. Y si no uso el PC por un par de minutos se pierde la coneccion a internet y debo reiniciar el PC-

QUE AGOOOOOOO!!!! PORFAVOR!! LO AGRADECERIA ETERNAMENTE!!

NACHO!!

Claudia34 · Mensaje por **Claudia34** » 23 Jun 2007, 00:14

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y portearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Y compleméntalo porteándonos el Log del HJT:

HJT: (HiJackThis)

¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

Opcional:

Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Saludos.

pikashu · Mensaje por **pikashu** » 23 Jun 2007, 01:04

Bueno hice lo que dijiste...

esto es lo que me a guardado el ELISTARA

Fri Jun 22 12:16:09 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\180AX.EXE --> Eliminado

C:\WINDOWS\SALM.EXE --> Eliminado

C:\WINDOWS\SATMAT.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\WINCOM32.INI --> Eliminado

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\SUSP.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\PERFC000.DAT --> Eliminado

C:\WINDOWS\DIDDUID.INI --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Nacho\Escritorio\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Nacho\Escritorio\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Nacho\Escritorio\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\svcp.csv --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\Winsub.xml --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Install.exe"="C:\WINDOWS\svchost.exe"

Eliminado Servicio, "Driver"

Eliminado Servicio, "wincom32"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.google.com

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jun 22 12:29:45 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PERFC000.DAT --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jun 22 12:32:13 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PERFC000.DAT --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jun 22 12:32:31 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\ZZZX.EXE --> Eliminado, DownLoader.B

Fri Jun 22 12:48:58 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Fri Jun 22 12:49:05 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Fri Jun 22 12:49:12 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jun 22 12:56:13 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Jun 22 12:56:28 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Nacho\Mis documentos\Setupes\guitar pro 5 0 español + crack + keygen.exe --> Eliminado, Bifrose (dropper)

Fri Jun 22 13:15:07 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PERFC000.DAT --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jun 22 13:19:56 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\IPV6MONL.DLL.Muestra EliStartPage v14.26

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IPV6MONL.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\PERFC000.DAT --> Eliminado

C:\Documents and Settings\Nacho\Escritorio\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Nacho\Escritorio\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Nacho\Escritorio\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Driver"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jun 22 13:25:44 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PERFC000.DAT --> Eliminado

C:\Documents and Settings\Nacho\Escritorio\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Nacho\Escritorio\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Nacho\Escritorio\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Driver"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri Jun 22 13:27:03 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PERFC000.DAT --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

escaleta lo que me a arrojado a la lista..supongo que es porque cada vez que inicio el pc me hace un analisis... es necesario hacerlo siempre que inicie windows??

pikashu · Mensaje por **pikashu** » 23 Jun 2007, 01:06

Logfile of HijackThis v1.99.1

Scan saved at 13:24:47, on 22/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyron.com/NjU2NA==/2/3560/homepage/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Console Flash CF.v5 - {0DF2A545-CAB5-47E8-9A8A-E92C93C23962} - C:\WINDOWS\system32\cflcfv5.dll

O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)

O2 - BHO: MSVPS System - {218B7D50-BC37-4FA8-A57F-6E8DE692BD79} - C:\WINDOWS\vpsnetwork.dll

O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O2 - BHO: Console Flash v.4.1 - {BCC8A4AB-C055-461E-B4B5-1B0EA8647897} - C:\WINDOWS\system32\confl.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe

O4 - HKLM\..\Run: [erwghjjrjt] c:\windows\system32\drivers\ucbcg.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Nacho\Escritorio\ELISTARA.02072007.EXE

O4 - HKCU\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: vpssup - {DEF4DA79-4DCA-48E6-9F17-F782BA65C6FD} - C:\WINDOWS\vpssup.dll

O21 - SSODL: expro - {3A073AA7-4B97-4B6E-B2DB-C4667844F19B} - C:\WINDOWS\expro.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

ESTO CORRESPONDE A HIJACKTHIS EN MODO A PRUEBA DE ERRORES... AHORA LO ARE EN MODO NORMAL Y PUBLICARE LUEGO...

TENGO QUE AGREGAR QUE ME HAN APARECIDO ACCESOSDIRECTOS DE SUPUESTOS PROGRAMAS ANTISPYWARE QUE POR MAS QUE BORRO LUEGO VUELVEN

pikashu · Mensaje por **pikashu** » 23 Jun 2007, 01:08

Logfile of HijackThis v1.99.1

Scan saved at 13:34:44, on 22/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\mom.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe

C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyron.com/NjU2NA==/2/3560/homepage/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Console Flash CF.v5 - {0DF2A545-CAB5-47E8-9A8A-E92C93C23962} - C:\WINDOWS\system32\cflcfv5.dll

O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)

O2 - BHO: MSVPS System - {218B7D50-BC37-4FA8-A57F-6E8DE692BD79} - C:\WINDOWS\vpsnetwork.dll

O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O2 - BHO: Console Flash v.4.1 - {BCC8A4AB-C055-461E-B4B5-1B0EA8647897} - C:\WINDOWS\system32\confl.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Nacho\Escritorio\ELISTARA.02072007.EXE

O4 - HKCU\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: vpssup - {DEF4DA79-4DCA-48E6-9F17-F782BA65C6FD} - C:\WINDOWS\vpssup.dll

O21 - SSODL: expro - {3A073AA7-4B97-4B6E-B2DB-C4667844F19B} - C:\WINDOWS\expro.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

HJT EN MODO NORMAL...

UNA PREGUNTA..AL ABRIR EL HJT PONGO LO QUE ME EXPLICABAS ARRIBA... ME COMIENZA A CARGAR EL PROGRAMA Y APARECE UNA LISTA DE "COSAS" Y LUEGO ME APARECE EL DOCUMENTO DONDE SALE TODO LO DE ARRIBA... NO DEBO HACER NADA MAS CON EL PROGRAMA??

Mensaje por **msc hotline sat** » 23 Jun 2007, 09:54

Sí, de entrada hay ficheros sospechosos que debes enviarnos para analizar:

C:\WINDOWS\system32\cflcfv5.dll

C:\WINDOWS\system32\perfc000.dat

C:\WINDOWS\vpssup.dll

C:\WINDOWS\expro.dll

C:\WINDOWS\vpsnetwork.dll

C:\WINDOWS\system32\confl.dll

y elimina estas claves:

O2 - BHO: Console Flash CF.v5 - {0DF2A545-CAB5-47E8-9A8A-E92C93C23962} - C:\WINDOWS\system32\cflcfv5.dll

O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)

O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O4 - HKCU\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

y elimina esta que tenias a medias, aunque si has reiniciado ya no estará:

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Nacho\Escritorio\ELISTARA.02072007.EXE

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ya veo porqué habia esta clave a medio proceso, el ELISTARA INDICA EN EL INFOSAT.TXT :

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Y al respecto se indica en este mismo apartado:

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

procede en consecuencia !

saludos

ms, 23-06-2007

pikashu · Mensaje por **pikashu** » 24 Jun 2007, 00:15

Sat Jun 23 15:10:56 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PERFC000.DAT --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jun 23 15:11:11 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Desinstalado EliNotif.dll

Sat Jun 23 15:31:59 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PERFC000.DAT --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jun 23 15:32:58 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

AHI ESTA EL ULTIMO INFOSAT DEL ELISTARA REALIZADO CON EL ARCHIVO QUE FALTABA (ELINOTIF.DLL)

pikashu · Mensaje por **pikashu** » 24 Jun 2007, 00:26

ahora acabo de borrar las claves que me dieron arriba con el HJT y reinicio y todo sigue igual.

Lo que estoy haciendo ahora es actualizar con windows update por los errores que me salen con el ALISTARA que dice .. actualizacion windows update incompleta.. o algo asi :S

que mas me queda por hacer??

Claudia34 · Mensaje por **Claudia34** » 24 Jun 2007, 04:01

Pues despues de que hayas hecho el windows update recomendado por el Elitara, para complementar, no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con opcion de red (para poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Saludos.

Mensaje por **lucl** » 24 Jun 2007, 09:25

me llama la atencion que te pidiera elinotfill y luego que no te limpie ningun bicho, veo que la desinstalaste en medio de los dos ultimos analisis,

Sat Jun 23 15:11:11 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Desinstalado EliNotif.dll

por favor, vuelve a instalarla, metela en una misma carpeta, ejecuta elistara y ~~[b]~~reinicia [/b]el pc, luego peganos el log, saludos,

Mensaje por **msc hotline sat** » 24 Jun 2007, 11:13

Creo que ya hizo el ELISTARA/ELINOTIF lo que podia hacer:

[quote]EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Desinstalado EliNotif.dll

Sat Jun 23 15:31:59 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PERFC000.DAT --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jun 23 15:32:58 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\
[/quote]

Y si hay algo mas, ya no es cosa suya ... o hemos de implementarsela para que haga lo que sea necesario para este caso, pero veamos lo que detectan los AV ONLINE indicados por Claudia34 y obraremos en consecuencia

saludos

ms, 24-06-2007

nota :

De todas formas, enviastes las muestras que te pediamos ???

Sí, de entrada hay ficheros sospechosos que debes enviarnos para analizar:

C:\WINDOWS\system32\cflcfv5.dll

C:\WINDOWS\system32\perfc000.dat

C:\WINDOWS\vpssup.dll

C:\WINDOWS\expro.dll

C:\WINDOWS\vpsnetwork.dll

C:\WINDOWS\system32\confl.dll

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

informanos sobre el particular, y si aun no lo has hecho, HAZLO YA !

pikashu · Mensaje por **pikashu** » 25 Jun 2007, 00:16

Tengo una duda... Segun dice mas arriba... instalar denuevo el ELISTARA ... segun me habian dicho.. solo debia Pegar el ELISTARA y el infosat.dll en una carpeta...y luego hacer doble clic y arrancar el programa... es solo eso lo que debo hacer? pegar los dos archivos en una carpeta y correr el ELISTARA? o hya que hacer algo mas para que "agarre" el archivo infosat.dll??

y SI..ya he enviado las muestras que me pedian... pero no he resivido respuestas alrespecto...

GRACIAS

Mensaje por **msc hotline sat** » 25 Jun 2007, 08:02

Dices "solo debia Pegar el ELISTARA y el infosat.dll en una carpeta" entendemos que quieres decir el ELINOTIF.DLL, no el infosat.dll ???

Pues tras seguir las instrucciones y probar el ELISTARA, luego reiniciar y terminar el proceso

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 25-06-2007

Mensaje por **msc hotline sat** » 25 Jun 2007, 13:58

Recibidas las muestras solicitadas, entran en proceso de monitorizacion, seguiremos informando

Pues nos han tenido ocupadillos sus muestras

Especialmente el .DAT, backdoor que se resiste a ser eliminado:

C:\WINDOWS\system32\perfc000.dat

Este fichero debe eliminarse arrancando en consola de recuperacion, pues se carga en el Appinit antes que cualquier otro proceso, y o bien se coloca el disco duro como esclavo en otro ordenador y asi se puede eliminar sin problemas dicho fichero, o se arranca en consola de recuperacion y si está en alguna carpeta del windows se puede acceder y eliminar.

Los demas son mas normalillos, y con el ELISTARA 14.27 de hoy espero que se controlarán.

A partir de las 20 h GMT descarguelos de esta web y pruebelos

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 25-06-2007

Nota: Para arrancar en consola de recuperacion, configurar el SETUP del BIOS para que arranque prioritariamente de CD, y colocando en la lectora el CD de instalacion de WINDOWS XP o 2000, arrancar y cuando aparece la opcion de Instalar o Acceder con R a consola de recuperacion, pulsar R, y desde DOS, ir en este caso a la carpeta de sistema y eliminar el fichero

C: <enter>

CD WINDOWS <enter>

CD SYSTEM32 <enter>

DEL perfc000.dat <enter>

Ya es el tercer virus de Appinit que se nos resiste un poquito, pero entre 300.000 se puede aceptar... :wink:

saludos

ms, 25-06-2007

pikashu · Mensaje por **pikashu** » 02 Jul 2007, 05:08

eeeeeeeeeeeeeEeEeEe

BUENO hay bnuenas noticias!! xD

despues de tanto trabajo y seguir sus instrucciones y otras ayudas.. pude hechar de mi pc las molestosas paginas ke se abrian...y esos errores que aparecian solo para hacer publicidad...

pero aun falta algo... me sale con el nod 32 ...

que a encontrado una infeccion pero como esta en la memoria operativa no puede realizar niuna accion...

esta infeccion-...yo creo que fue la que me a desconfigurado o bloqueado mi coneccion a internet.. y estoy muy molesto...en este momento estoy enmodo a prueba de fllos con funciones de red-..

y no me gusta xD

necesito que me ayuden a sacar ese virus o lo que sea plis

muxas gracias

Mensaje por **msc hotline sat** » 02 Jul 2007, 05:33

Bueno, pues vamos avanzando !

Y sobre lo que indica detectar pero no poder eliminar con NOD32, no nos da informacion, ni nombre d lo que se trata ni proceso en el que lo detecta ??? Nos lo pone muy dificil !

Pero igual le está pasando por no lanzar el antivirus en modo seguro y habiendo desactivado la rstairacion de sistema...

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Tras probarlo asi, nos comenta el resultado, gracias

saludos

ms, 2-07-2007

pikashu · Mensaje por **pikashu** » 03 Jul 2007, 02:12

ya... desactive la restauracio del sistema..y me fui a modo de fallos

analice con el antivirus y no me detecto nada... peroluego me percate que arriba decia...

Ha ocurrido un error mientras se analizaba la memoria operativa. La memoria operativa no puede ser analizada (ha ocurrido un error mientras se cargaba el archivo nod32m1.vxd o durante la comunicación con el servicio de análisis).

...cuando entro a modo a prueba de fallos solo me permite una opcion de analizar mi computador... cuando estoy en modo normal me aparecen cuatro.. una de esas es analisis profundo que es donde el antivirus me detecta la infeccion.,.en los otros no pasa nada..

que hago...

pormientras analisare mi pc cn otros programas...

Mensaje por **msc hotline sat** » 03 Jul 2007, 15:13

Pues parece que tiene mal instalado o dañado el NOD32...

Pruebe arrancar en modo seguro con funciones de red y lance este AV ONLINE, escoja idioma, luego analizar antivirus, luego seleccione la unidad y "Start Scan"

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y nos cuentas el resultado

saludos

ms, 3-07.2007