Ordenador colapsado x varios virus ¿ startdrv.exe ?

Sol_71 · Mensaje por **Sol_71** » 09 Jul 2007, 18:14

Aquí mi log de Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15:54:08, on 09/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\system32\tnoyknvh.exe
C:\Archivos de programa\ESET\nod32.exe
C:\Archivos de programa\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\Documents and Settings\Lotus\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\aanabomj.dll",forkonce
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Remove useless applications with Autorun3 - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra 'Tools' menuitem: &Autorun3 - protection against useless applications. - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: Ajuste del explorador de Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - blank (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9120A4-1FB3-4F9F-A5C6-73FE927091B6}: NameServer = 80.58.0.33,80.58.0.97,193.235.113.3,195.235.96.90
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

---------
Después de descargar unas actualizaciones de seguridad de windows xp. Y también descargar un programa de dudosa procedencia (sin haberlo pasado por el antivirus)
El antivirus mostró que había muchos virus , troyano, rootkits ...
cerca de 20 o más...

PROBLEMAS:

El ordenador se ha vuelto inestable, el ratón no funciona bien, al
pasar por encima simplemente de las carpetas, iconos, etc.. las mueve, selecciona, marca sin control. No abre carpetas.
Al navegar con firefox, se abren sesiones con explorer de otras webs de antivirus, 3 ó 4 ventanas de explorer.
Se marcan en ambos simplemente con pasar el ratón, va redirigiendo webs etc..

ACCIONES:
He pasado varios antivirus instalados en el ordenador, desinstalando primero siempre el anterior, algunos iban borrando algunos, también con antivirus on line, entre todos se fueron borrando la mayoría. pero han quedado algunos rootkits, y otros... No sé que hacer más
Intenté entrar en modo a prueba de fallos, y no me deja.
muchas veces tengo que apagar de golpe, se queda todo colapsado.

ANTES DE borrar algunos virus, estos eran algunos del informe kaspersky (ahora no sé si estarán)

C:\WINDOWS\Temp\win41D.tmp.exe Infectados: Trojan-Downloader.Win32.Small.dod
C:\WINDOWS\system32\cqqfguwd.dll Infectados: Trojan.Win32.BHO.bd

de este había muchisimas dll con diferente nombre

C:\System Volume Information\_restore{07E27FC8-33BF-4C48-8AF0-1AF6FFA9E172}\RP478\A0057844.exe Infectados: Trojan.Win32.Dialer.qn
C:\System Volume Information\_restore{07E27FC8-33BF-4C48-8AF0-1AF6FFA9E172}\RP476\A0056461.exe Infectados: Trojan-Downloader.Win32.LoadAdv.gen
C:\System Volume Information\_restore{07E27FC8-33BF-4C48-8AF0-1AF6FFA9E172}\RP473\A0054378.sys Infectados: Rootkit.Win32.Agent.cf
C:\System Volume Information\_restore{07E27FC8-33BF-4C48-8AF0-1AF6FFA9E172}\RP473\A0054372.exe Infectados: Trojan-Proxy.Win32.Wopla.ac
C:\qcwrp.exe Infectados: Trojan-Downloader.Win32.Agent.brk

Estos son algunos... hay muchos más en el informe.

Mensaje por **msc hotline sat** » 09 Jul 2007, 18:18

Pues aparte de los que te haya eliminado las utilidades que te hemos indicado, desactiva la restairacion de sistema, arrance en modo seguro y lanzas el kaspersky que tienes y deberña eliminar estos del restore y demas:

http://www.zonavirus.com/articulos/como ... fallos.asp

Al final de ello, posteanos el contenido de C:\infosat.txt y cuéntanos si persiste alguna anomalia.

saludos

ms, 9-07-2007

Mensaje por **msc hotline sat** » 09 Jul 2007, 18:20

Y recuerda lo que tienes pendiente:

Pero mientras, envienos estos dos ficheros para analizar, por ser sospechosos:

C:\WINDOWS\system32\tnoyknvh.exe
C:\WINDOWS\system32\aanabomj.dll

Para ello recordar: viewtopic.php?f=2&t=45334

Y es consciente de tener configurado como uno de los servidores de DNS uno de Malmo (Suecia) ???, porque esta isla nos suena mucho a virus (recordando el Magistr) ...

193.235.113.3 SE Sweden 27 Skane Lan Malmö 55.6000 13.0000 Kungliga Tekniska Hogskolan Unimax AB

Seguimos en el Tema que abra al respecto, gracias

aparte de probar el ELISTARA que ya lo deciamos antes que nada !

saludos

ms, 9-07-2007

Sol_71 · Mensaje por **Sol_71** » 09 Jul 2007, 18:25

Incidencia Estado Elemento

Adware:Adware/SpywareNo No desinfectado C:\WINDOWS\SYSTEM32\winxtx32.dll

Adware:Adware/Yazzle No desinfectado C:\Archivos de programa\Archivos comunes\Yazzle1162OinAdmin.exe~

Spyware:Cookie/Reliablestats No desinfectado C:\Documents and Settings\Lotus\Cookies\lotus@stats1.reliablestats[2].txt

Spyware:Cookie/Winantivirus No desinfectado C:\Documents and Settings\Lotus\Cookies\lotus@winantivirus[2].txt

Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000625.~]

Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000705.~]

Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000709.~]

Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000889.~]

Este es el útimo log de antivirus online panda

Activescan777 de anteayer (ayer no toqué nada)

Por si puede ayudar en algo

Saludos y mil grácias

Sigo con los deberes

Mensaje por **msc hotline sat** » 09 Jul 2007, 19:02

Me decias del Kaspersky y ahora me dices de Panda ???

antes: "estos eran algunos del informe kaspersky"

ahora : "Este es el último log de antivirus online panda Activescan de anteayer (ayer no toqué nada) "

Sea como sea, es que no tienes antivirus instalado ???, pues con tu antivirus, cualquiera que sea de los dos, desactiva la restaiuracion de sistema, arranca en modo seguro y procede !

saludos

ms, 9-07-2007

Sol_71 · Mensaje por **Sol_71** » 09 Jul 2007, 21:26

Ahora mísmo utilizo NOD32, cómo dije en mi primer post, és el último antivirus que he instalado, ya que puedo probarlo durante 30 días.

Antes intenté solucionar el problema de los virus, pasando el panda que tenía, luego al no solucionarlo, lo desinstale para ver otros, fueron varios y también pasé varios antivirus online como ya dije, entre unos y otros se fueron borrando, pero aún quedan códigos maliciosos y no los puedo borrar, y tengo el ordenador colapsado y funcionando a duras penas.

Los informes, son de los antivirus que iba instalando y desinstalando al ver que no terminaban los problemas y guardaba logs, para comparar unos y otros, con mi poco conocimiento, intentando solucionar. El kaspersky es uno de los logs y el del panda, es el último log de su antivirus online.

Tambien pasé el trend.. ya que podía pasarlo desde firefox, lo leí en su web.

Se los puse, por si te ayudaban, para ver el origen. Pues todos los virus han venido por un único proceso! Ejecutar un prógrama!

---

Ya os envié los dos ficheros sospechosos. Y un tercero en otro e-mail.

---

El tema de las DNS, me ha dejado asombrada, ni lo sabía, ni sé cómo ha ocurrido.

Tengo ADSL configurado con las DNS de terra en un router de 4 puertos.

En dos tengo dos ordenadores y en otro una impresora LAN, la red interna la hice yo, no soy experta, estoy casi segura que esta bién. Leyendo mucho en internet.

Ya me informarás más sobre el tema de DNS de Mälmo en Suecia?????

---

Aquí te paso el LOG EliStarA

Infosat.txt

Mon Jul 09 19:38:41 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "icq.com"="rundll32.exe "C:\WINDOWS\system32\aanabomj.dll",forkonce" (Vundo)

[WinLogon\Notify\WINXTX32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\LJJGDAA.DLL.Muestra EliStartPage v14.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LJJGDAA.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\JKHFD.DLL --> Vundo6(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AANABOMJ.DLL.Muestra EliStartPage v14.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AANABOMJ.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\DFHKJ.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\DFHKJ.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\DFHKJ.tmp --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{1F6581D5-AA53-4B73-A6F9-41420C6B61F1}" -> C:\WINDOWS\system32\aotvhwrt.dll

Eliminada Class, "{A6807262-1D7A-44AB-947B-23B71E97915C}" -> C:\WINDOWS\system32\xxywxwu.dll

Eliminada Class, "{8681F582-A540-4D42-AB05-A7D9D8470325}" -> C:\WINDOWS\system32\jkhfd.dll

Eliminado Servicio, "runtime"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 09 19:42:58 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert

C:\Archivos de programa\Security Task Manager\ASCODE.DLL --> Eliminado, PWS-WoW

C:\Archivos de programa\Security Task Manager\SPYPRODLL.DLL --> Eliminado, PWS-WoW

C:\WINDOWS\system32\ASBSTLWE.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\BAHRKODJ.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\JKHFD.DLL --> Acceso Denegado, Vundo6(notify)

C:\WINDOWS\system32\QDRRDVMF.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\SNBKJHCB.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\UEOBQKJX.DLL --> Eliminado, Vundo8

No lo pude pasar antes, ya que el link de descarga, me descargaba el programa de HIjack... como ya Le dije!

Saludos y grácias

Mensaje por **msc hotline sat** » 09 Jul 2007, 21:49

Eso de la IP de un servidor de DNS de Malmo es solo una sospecha de que es de un servidor malicioso, como otras que conocemos de Ukraina, no es dogma de fé, pero como que nos acordamos el Magistr que nos dió mucha guerra y por otro lado no ser nada normal usar un servidor tan raro... nos dá que pensar, por eso te hemos preguntado si sabias que lo usabas, visto que no, aun sospechamos mas !

Bueno, tienes tres sospechosos no controlados:

Por favor, envienos una muestra del fichero
C:\WinLogon\WINXTX32.DLL
C:\Muestras\LJJGDAA.DLL.Muestra EliStartPage v14.37
C:\Muestras\AANABOMJ.DLL.Muestra EliStartPage v14.37

Pueden ser variantes del VUNDO, pero ya veremos, envianos estas muestras y las analizaremos

Para ello recordar: viewtopic.php?f=2&t=45334

A la vista de ello procederemos

saludos

ms, 9-07-2007

Sol_71 · Mensaje por **Sol_71** » 10 Jul 2007, 11:50

Te acabo de enviar los 3 ficheros que me pedías.

---

Paso el log de hoy de Hijack... (por si sirve de algo)

Logfile of HijackThis v1.99.1
Scan saved at 10:49:48, on 10/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\?icrosoft\??erinit.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\system32\Notepad.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Lotus\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win2198.tmp.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Lotus\Escritorio\ELISTARA.19072007.EXE
O4 - HKCU\..\Run: [Efs] C:\WINDOWS\system32\?icrosoft\??erinit.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Remove useless applications with Autorun3 - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra 'Tools' menuitem: &Autorun3 - protection against useless applications. - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: Ajuste del explorador de Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - blank (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9120A4-1FB3-4F9F-A5C6-73FE927091B6}: NameServer = 80.58.0.33,80.58.0.97,193.235.113.3,195.235.96.90
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

---

Y el log de Infosat Elistara

Tue Jul 10 09:39:46 2007
EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\WINXTX32]
Por favor, envienos una muestra del fichero
C:\WinLogon\WINXTX32.DLL
a "virus@satinfo.es". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\LJJGDAA.DLL.Muestra EliStartPage v14.37
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\LJJGDAA.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\JKHFD.DLL --> Vundo6(notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DFHKJ.ini --> Eliminado (Fichero Complementario).
Eliminada Class, "{82BEA284-E124-409E-B6B4-5FB970DB8A86}" -> C:\WINDOWS\system32\jkhfd.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Jul 10 09:40:10 2007
EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\JKHFD.DLL --> Acceso Denegado, Vundo6(notify)
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

........ Lo de Elinotif.dll???? no pude bajarlo de la web

---

Todo esto una vez pasado en modo a prueba de fallos, Elistara y antivirus (nod32)

---

Usa terra un servidor de Suecia? no termino de entender lo de las DNS. Te agradezco alguna info.

Saludos

Mensaje por **msc hotline sat** » 10 Jul 2007, 12:09

Tanto el ELINOTIF como el ELISTARA van a ser renovados en una hora. Espera a que anunciemos la 14.38 del ELISTARA para bajarte los dos ficheros de nuevo:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y lo de servidores de Terra en Suecia , anda ya !

Mas bien un DNSCHANGE o cualquier utilidad desconocida maliciosa te ha implementado este servidor de DNS en tu confuguracion, como lo hacen con los de Ukraina, pero estos ya los hemos visto 100 veces, y el tuyo solo en tu caso...

Tu sabrás, si fueras hombre pensaría en alguna sueca, pero creo que eres mujer, asi que mas bien no es el caso

Voy a mirar quienes son los de esta IP y te informo

saludos

ms, 10-07-2007

Mensaje por **msc hotline sat** » 10 Jul 2007, 12:28

hE BUSCADO INFORMACION DE "Kungliga Tekniska högskolan" Y AL PARECER ES UN CENTRO DE FORMACION TECNICA, pero no entiendo el sueco :oops:

De todas formas no pintaba nada bueno en su ordenador, asi que muy bien hecho de retirarlo de la circulacion .

Por lo demas, en media hora tendremos las nuevas utilidades para que las pruebes

saludos

ms, 10-07-2007

Sol_71 · Mensaje por **Sol_71** » 10 Jul 2007, 12:40

Yo tampoco entiendo el sueco :-) pero para encontrar alguno tampoco tendría que ir muy lejos ni a Suecia. Por aquí tenemos de todas las nacionalidades.

Sí, habría que poder poner "novata" :)

Ya no tengo las DNS de Suecia?

Luego bajaré vuestras utilidades de nuevo e informo.

Saludos y muchas grácias

Mensaje por **msc hotline sat** » 10 Jul 2007, 13:47

Ya puedes probar las nuevas versiones de ELISTARA/ELINOTIF

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y la IP que tenias configurada entre las de otros servidores de correo era la de 193.235.113.3 que ya no está, (ni ganas)

Espero que pruebes las nuevas utilidades y se normalice todo

saludos

ms, 10-07-2007

Mensaje por **msc hotline sat** » 10 Jul 2007, 14:33

Recibidas dos muestras que son VUNDO8 y downloader, que pasamos a implementar en el proximo ELISTARA 14.39, PERO ENVIAS TAMBIEN UNA CARPETA QUE NO SABEMOS QUE ES: un fichero con extension CAT y otro INF que no sabemos a qué vienen ???

saludos

ms, 10-07-2007

Por cierto, no has posteado el infosat.txt tras probar el ultimo ELISTARA 14.38/ELINOTIF ...

Sol_71 · Mensaje por **Sol_71** » 10 Jul 2007, 16:26

Log de Elistara v14.38

Tue Jul 10 14:23:50 2007

EliStartPage v14.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJGDAA] -> C:\WINDOWS\SYSTEM32\ljjgdaa.dll

Key Eliminada [WinLogon\Notify\jkhfd] -> C:\WINDOWS\SYSTEM32\JKHFD.DLL

Entrada Eliminada [HKLM\...\Run] "icq.com"="rundll32.exe "C:\WINDOWS\system32\mprtjnrx.dll",forkonce" (Vundo)

Key Eliminada [WinLogon\Notify\JKHFD] -> C:\WINDOWS\SYSTEM32\JKHFD.DLL

[WinLogon\Notify\LJJGDAA]

Por favor, envienos una muestra del fichero

C:\WinLogon\LJJGDAA.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINXTX32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\LJJGDAA.DLL.Muestra EliStartPage v14.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LJJGDAA.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\JKHFD.DLL --> Vundo6(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\MPRTJNRX.DLL.Muestra EliStartPage v14.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MPRTJNRX.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\AUNXQXNY.DLL.Muestra EliStartPage v14.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AUNXQXNY.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\JKHFD.DLL --> Vundo6(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DFHKJ.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{1F6581D5-AA53-4B73-A6F9-41420C6B61F1}" -> C:\WINDOWS\system32\aunxqxny.dll

Eliminada Class, "{82BEA284-E124-409E-B6B4-5FB970DB8A86}" -> C:\WINDOWS\system32\jkhfd.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 10 14:25:01 2007

EliStartPage v14.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\JKHFD.DLL --> Acceso Denegado, Vundo6(notify)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.07.10 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\JKHFD"

Desinstalado EliNotif.dll

Tue Jul 10 14:42:08 2007

EliStartPage v14.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJGDAA] -> C:\WINDOWS\SYSTEM32\ljjgdaa.dll

[WinLogon\Notify\WINXTX32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\LJJGDAA.DLL.Muestra EliStartPage v14.38

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LJJGDAA.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"

Puesto en una misma carpeta tambien elinotif.dll

---

Repaso de los e-mails que te he enviado

9/7/07

e-mail de gmail 09/07/2007 18:25 REF Sol_71

con 2 archivos comprimidos

1-tnoyknvh.rar

2-aanabomj.rar

e-mail de gmail 09/07/2007 18:26 REF Sol_71

con 1 archivo comprimido

1-DRVSTORE.rar

Este lo envié, como ya comento porque era el único dentro de la carpeta c:\windows\system32 que venía marcada en azul el nombre, por si era algo de utilidad o sospechoso.

e-mail de terra 10/07/2007 10:47 REF Sol_71

con 1 archivo comprimido sin nombre, conteniendo 3 archivos

1-WINXTX32.DLL

2-LJJGDAA.DLL.Muestra EliStartPage v14.37

3-AANABOMJ.DLL.Muestra EliStartPage v14.37

.......... El segundo de ayer veo que lié más que ayudé.

:oops:

---

Tema DNS

He abierto las conexiones de red, conexiones de área local, propiedades, protocolo tcp/ip, propiedades, avanzada, en la lista de servidores dns, ahí estaban los numeritos, (aún estaban ahí !!!)detràs de los 2 de terra 80...

193.235.113.3

195.235.96.90

Los he borrado!

También al abrir las conexiones de red, hay 3 opciones:

abrir

Add to Autorun3's Black List ?????? ( no serà la R.A.I :) )

Explorar

---

He de decir que aún se me abren ventanas de explorer cuando navego con firefox, pero ya tengo control del ratón, esto va mejorando mucho, era muy molesto!

Grácias, ya me comentarás...

Saludos

Sol_71 · Mensaje por **Sol_71** » 10 Jul 2007, 16:52

Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información general del sistema

10/07/2007 10:32:21 AMON Archivo C:\Muestras\WUCRTUPD.EXE.Muestra EliStartPage v14.37 Win32/TrojanDownloader.PurityScan (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\WINDOWS\Explorer.EXE.

10/07/2007 10:32:15 AMON Archivo C:\Muestras\WUCRTUPD.EXE.Muestra EliStartPage v14.37 Win32/TrojanDownloader.PurityScan (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\WINDOWS\Explorer.EXE.

10/07/2007 10:30:50 AMON Archivo C:\Muestras\WUCRTUPD.EXE.Muestra EliStartPage v14.37 Win32/TrojanDownloader.PurityScan (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\WINDOWS\Explorer.EXE.

10/07/2007 9:57:41 AMON Archivo C:\Muestras\WUCRTUPD.EXE.Muestra EliStartPage v14.37 Win32/TrojanDownloader.PurityScan (Troyano) NT AUTHORITY\SYSTEM Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\WINDOWS\SYSTEM32\cidaemon.exe.

10/07/2007 9:55:36 AMON Archivo C:\WINDOWS\Temp\STARTDRV.EXE Win32/Rootkit.Agent.EY (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Documents and Settings\Lotus\Escritorio\ELISTARA.19072007.EXE.

10/07/2007 9:42:38 AMON Archivo C:\WINDOWS\Temp\startdrv.exe Win32/Rootkit.Agent.EY (Troyano) NT AUTHORITY\SYSTEM Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\WINDOWS\SYSTEM32\cidaemon.exe.

10/07/2007 9:32:52 IMON Archivo http://l.mezzicodec.net/a412/de.php?b=779 Probablemente desconocido NewHeur_PE (Virus) LAND-0000\Lotus

10/07/2007 9:30:58 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\T2LISGXS\!update-4395[1].0000 Variante modificada de Win32/TrojanDownloader.PurityScan (Troyano) Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\system32\?icrosoft\??erinit.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:30:52 IMON Archivo http://update2.outerinfo.com/!update-4395.0000 Variante modificada de Win32/TrojanDownloader.PurityScan (Troyano) LAND-0000\Lotus

10/07/2007 9:27:17 AMON Archivo C:\DOCUME~1\Lotus\CONFIG~1\Temp\551156.exe Probablemente una variante modificada de (Troyano) Win32/TrojanClicker.Agent.NBS Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\TEMP\win2198.tmp.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:26:41 AMON Archivo C:\DOCUME~1\Lotus\CONFIG~1\Temp\500390.exe Probablemente una variante modificada de (Troyano) Win32/TrojanClicker.Agent.NBS Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\TEMP\win2198.tmp.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:26:36 AMON Archivo C:\DOCUME~1\Lotus\CONFIG~1\Temp\443640.exe Probablemente una variante modificada de (Troyano) Win32/TrojanClicker.Agent.NBS Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\TEMP\win2198.tmp.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:26:29 AMON Archivo C:\DOCUME~1\Lotus\CONFIG~1\Temp\393078.exe Probablemente una variante modificada de (Troyano) Win32/TrojanClicker.Agent.NBS Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\TEMP\win2198.tmp.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:26:23 AMON Archivo C:\DOCUME~1\Lotus\CONFIG~1\Temp\342937.exe Probablemente una variante modificada de (Troyano) Win32/TrojanClicker.Agent.NBS Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\TEMP\win2198.tmp.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:26:16 AMON Archivo C:\DOCUME~1\Lotus\CONFIG~1\Temp\292812.exe Probablemente una variante modificada de (Troyano) Win32/TrojanClicker.Agent.NBS Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\TEMP\win2198.tmp.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:25

10/07/2007 9:25:56 AMON Archivo C:\DOCUME~1\Lotus\CONFIG~1\Temp\242609.exe Probablemente una variante modificada de (Troyano) Win32/TrojanClicker.Agent.NBS Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\TEMP\win2198.tmp.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:25:17 AMON Archivo C:\WINDOWS\TEMP\winAD7.tmp Win32/TrojanDownloader.PurityScan.EG (Troyano) Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido en un archivo modificado El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:21:19 Kernel Archivo C:\WINDOWS\system32\?icrosoft\??erinit.exe Variante modificada de Win32/Adware.PurityScan aplicación

10/07/2007 9:21:17 Kernel Archivo C:\WINDOWS\TEMP\win2198.tmp.exe Probablemente desconocido NewHeur_PE (Virus)

10/07/2007 9:21:13 Kernel Archivo c:\windows\system32\?icrosoft\??erinit.exe Variante modificada de Win32/Adware.PurityScan aplicación

10/07/2007 9:21:11 Kernel Archivo c:\windows\temp\win2198.tmp.exe Probablemente desconocido NewHeur_PE (Virus)

10/07/2007 9:21:00 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\8H6BWPM3\xc42[1].exe Win32/TrojanDownloader.PurityScan.EG (Troyano) Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:20:51 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\8H6BWPM3\xc29[1].exe Win32/Agent.QT (Troyano) Puesto en cuarentena - Eliminado LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\Archivos de programa\Internet Explorer\Iexplore.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.

10/07/2007 9:20:51 IMON Archivo http://l.mezzicodec.net/a412/sv.php?m=1&b=779 Win32/Agent.QT (Troyano) LAND-0000\Lotus

10/07/2007 9:20:51 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\8H6BWPM3\xc29[1].exe Win32/Agent.QT (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Archivos de programa\Internet Explorer\Iexplore.exe.

10/07/2007 9:20:51 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\8H6BWPM3\xc29[1].exe Win32/Agent.QT (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Archivos de programa\Internet Explorer\Iexplore.exe.

10/07/2007 9:20:51 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\8H6BWPM3\xc29[1].exe Win32/Agent.QT (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Archivos de programa\Internet Explorer\Iexplore.exe.

10/07/2007 9:20:50 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\8H6BWPM3\xc29[1].exe Win32/Agent.QT (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Archivos de programa\Internet Explorer\Iexplore.exe.

10/07/2007 9:20:50 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\8H6BWPM3\xc29[1].exe Win32/Agent.QT (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Archivos de programa\Internet Explorer\Iexplore.exe.

10/07/2007 9:20:50 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\8H6BWPM3\xc29[1].exe Win32/Agent.QT (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Archivos de programa\Internet Explorer\Iexplore.exe.

10/07/2007 9:20:50 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\8H6BWPM3\xc29[1].exe Win32/Agent.QT (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Archivos de programa\Internet Explorer\Iexplore.exe.

10/07/2007 9:20:49 AMON Archivo C:\Documents and Settings\Lotus\Configuración local\Archivos temporales de Internet\Content.IE5\8H6BWPM3\xc29[1].exe Win32/Agent.QT (Troyano) LAND-0000\Lotus Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Archivos de programa\Internet Explorer\Iexplore.exe.

10/07/2007 9:20:43 IMON Archivo http://l.mezzicodec.net/a412/de.php?b=779 Probablemente desconocido NewHeur_PE (Virus) LAND-0000\Lotus

Espero que no te lie :)

me saltan alarmas continuamente del antivirus

---

Con lo tranquila que yo estaba con el "firewall de windows" está ayudando a proteger a su equipo. :lol:

---

El último e-mail, lo pasé con terra, pues gmail no me dejaba enviarlo.

Saludos

Mensaje por **msc hotline sat** » 10 Jul 2007, 16:59

Empiezo por el final, debo recordarte que no damos soporte a firefox, por lo que todas las utilidades y sugerencias son respecto al I.E., por lo que deberias ver si con el navegador standart de microsoft tienes algun problema, ya que si con él no lo tienes, no iremos mas allá, pues no hacemos utilidades ni investigamos otros como Eudora, Opera o Firefox, sino que nos centramos exclusivamente en el Internet Explorer, que es el que usan un 85 % de usuarios (la inmensa mayoría) y del que damos soporte.

Y veamos los logs: Pues hay dos ficheros rebeldes,

C:\WINDOWS\SYSTEM32\LJJGDAA.DLL --> Acceso Denegado.

C:\WINDOWS\system32\JKHFD.DLL --> Acceso Denegado, Vundo6(notify)

Mira si de dejan cortar y pegar a la papelera, y despues vaciar la papelera

Se hace con CTRL-X sobre el fichero seleccionado y luego CTL-V sobre la papelera

Si no lo logras asi, deberas arrancar en consola de recuperacion, llegar a la carpeta en cuestion y eliminar dichos ficheros, pero de eso ya hablaremos si hace falta.

Ahora prueba la 14.30+nuevo ELINOTIF (BAJA DE NUEVO LOS DOS EN UNA MISMA CARPETA) y tras probar el ELISTSRA, reinicias y exploras hasta el final.

y nos posteas el contenido del infosat.txt

(Pero todo ello tras probar de cortar y pegar a la papelera los dos rebeldes !)

saludos

ms, 10-07-2007

Sol_71 · Mensaje por **Sol_71** » 10 Jul 2007, 19:42

Los dos ficheros rebeldes, no se dejan cortar y pegar. Pone que està usandolo otra persona o programa. Aún no he probado a borrarlos en modo seguro.

Le paso log infosat elistara:

Antes de reinicio:

Tue Jul 10 17:49:25 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJGDAA] -> C:\WINDOWS\SYSTEM32\ljjgdaa.dll

Key Eliminada [WinLogon\Notify\jkhfd] -> C:\WINDOWS\SYSTEM32\JKHFD.DLL

Entrada Eliminada [HKLM\...\Run] "icq.com"="rundll32.exe "C:\WINDOWS\system32\awmplewh.dll",forkonce" (Vundo)

[WinLogon\Notify\WINXTX32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\LJJGDAA.DLL.Muestra EliStartPage v14.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LJJGDAA.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\JKHFD.DLL --> Vundo6(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWMPLEWH.DLL.Muestra EliStartPage v14.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWMPLEWH.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\XPJMOMIU.DLL.Muestra EliStartPage v14.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XPJMOMIU.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\DFHKJ.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{1F6581D5-AA53-4B73-A6F9-41420C6B61F1}" -> C:\WINDOWS\system32\xpjmomiu.dll

Eliminada Class, "{C5FBFEBC-8C24-4186-A62B-7147103D2B63}" -> C:\WINDOWS\system32\jkhfd.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 10 17:49:48 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\AANABOMJ.DLL.MUESTRA ELISTARTPAGE V14.37 --> Eliminado, Vundo8

C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc211\AANABOMJ.DLL.MUESTRA ELISTARTPAGE V14.37 --> Eliminado, Vundo8

C:\WINDOWS\system32\AANABOMJ.DLL.VIR --> Eliminado, Vundo8

C:\WINDOWS\system32\ADTXMTXS.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\AYTUUFWV.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\DSOFTOAR.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\ENSVAOAN.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\FUFFQLKF.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\GRGFDMUC.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\GWVNFCSY.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\HQDOEIYY.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\ITTETHDQ.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\JKHFD.DLL --> Acceso Denegado, Vundo6(notify)

C:\WINDOWS\system32\JURAYQOG.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\JYQQKMHR.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\LKFKSJXW.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\LWCQIYHX.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\OJUFVSPR.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\QGXXGWFY.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\SECADFQC.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\TNOYKNVH.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\TVDKEUMO.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\TVOHXOKC.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\VBHTIMUM.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\WVPYTMLV.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\WXHBARLA.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\XPPPNVWB.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\XYMVBJJP.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\YERHDKIM.EXE --> Eliminado, DownLoader.Tiny.ID

Instalada Utilidad "ELINOTIF.DLL"

Despues de reiniciar:

EliNotify v1.7.07.10 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\JKHFD"

Desinstalado EliNotif.dll

Tue Jul 10 18:18:39 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJGDAA] -> C:\WINDOWS\SYSTEM32\ljjgdaa.dll

[WinLogon\Notify\WINXTX32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\LJJGDAA.DLL.Muestra EliStartPage v14.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LJJGDAA.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 10 18:19:14 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Instalada Utilidad "ELINOTIF.DLL"

Tue Jul 10 18:20:55 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJGDAA] -> C:\WINDOWS\SYSTEM32\ljjgdaa.dll

[WinLogon\Notify\WINXTX32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\LJJGDAA.DLL.Muestra EliStartPage v14.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LJJGDAA.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 10 18:21:06 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\JKHFD.DLL --> Eliminado, Vundo6(notify)

Instalada Utilidad "ELINOTIF.DLL"

Debo proceder intentando borrar en modo seguro primero los 2 ficheros:

C:\WINDOWS\SYSTEM32\LJJGDAA.DLL --> Acceso Denegado.

C:\WINDOWS\system32\JKHFD.DLL --> Acceso Denegado, Vundo6(notify)

y volviendo a pasar el Elistara ?

---

Desde hoy al reiniciar el ordenador, después del POST (creo que se llama así) el pip inicial, al momento se vuelve a reiniciar y ya llega hasta escritorio.

---

También el último ElistarA, al ejecutarlo, sale una advertencia de seguridad

Saludos

Mensaje por **msc hotline sat** » 10 Jul 2007, 20:02

Pues si aun no lo hubieras hecho, envianos estos ficheroa para analizar:

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\LJJGDAA.DLL.Muestra EliStartPage v14.39

Por favor, envienos una muestra del fichero

C:\Muestras\AWMPLEWH.DLL.Muestra EliStartPage v14.39

Por favor, envienos una muestra del fichero

C:\Muestras\XPJMOMIU.DLL.Muestra EliStartPage v14.39

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y sobre los dos rebeldes, visto que no se dejan cortar y pegar, debes arrancar con el CD de instalacion, escoger R para entrar en consola de recuperacion y asi podras eliminarlos:

c: <enter>

cd windows <enter>

cd system32 <enter>

del LJJGDAA.DLL <enter>

del JKHFD.DLL <enter>

Y asi cuando vuelvas a arrancar ya no estarán ni podrán ponerse en uso

Lo de que reincie es causa de que no puede eliminar dichos ficheros, es logico

pero dices que "También el último ElistarA, al ejecutarlo, sale una advertencia de seguridad "

pues dinos qué dice la advertencia ...

saludos

ms, 20-07-2007

Sol_71 · Mensaje por **Sol_71** » 10 Jul 2007, 20:58

De verdad que te agradezco mucho tu ayuda :D

y espero no darte mucho dolor de cabeza, porque tus neuronas deben echar humo. Las mías ni te digo jajaja y esto que el problema es mío.

No sé cuantas horas tendrá tu día, pero espero que tengas tiempo para descansar y disfrutar.

Te recuerdo que te postee: :)

e-mail de terra 10/07/2007 10:47 REF Sol_71

con 1 archivo comprimido sin nombre, conteniendo 3 archivos

1-WINXTX32.DLL

2-LJJGDAA.DLL.Muestra EliStartPage v14.37

3-AANABOMJ.DLL.Muestra EliStartPage v14.37

Ah no ser que me pidas, las muestras pero de la v14.39 !!!

Tengo un cacao ya!

Te acabo de enviar:

Por favor, envienos una muestra del fichero

C:\Muestras\AWMPLEWH.DLL.Muestra EliStartPage v14.39

Por favor, envienos una muestra del fichero

C:\Muestras\XPJMOMIU.DLL.Muestra EliStartPage v14.39

Espero que te envie bien lo que me pides, pq veo que me pones el link, de como enviar muestras. Ya lo leí antes.

Si te hace falta alguno más me lo dices.

---

El mensaje de advertencia de EliStarA 14.39... no me acordaba de memoria, lo ejecuto de nuevo.

No se puede comprobar el fabricante ¿Està seguro de que desea ejecutar este software?

nombre: ELISTARA.2072007.EXE

Fabricante: FAbricante desconocido

tipo: aplicación

De: la ubicación en el escritorio ok

ejecutar ó cancelar

marcada la casilla de preguntar antes de ejecutar

Este archivo no tiene ninguna firma digital válida que compruebe su fabricante. Sólo ejecute software de los fabricantes en los que confía...

ACEPTAR, Bueno ya es como de la familia :)

---

TEngo que buscar el CD de instalación que lo debo tener por algún cajón de mi alrededor... procederé tal y como me dices borrando los 2 archivos maliciosos y ya te contaré.

Por qué no hemos borrado antes todos los anteriores virus, rootkits, o lo que sean de este modo???

No te invito a una cañita porque seguro estamos a una distancia, al menos yo estoy rodeada de agua. Me la tomaré yo a tu salut.

Saludos y mil grácias una vez más :D

Mensaje por **msc hotline sat** » 11 Jul 2007, 11:42

Pues te contesto, mi dia tiene 24 horas, como supongo que el de todo el mundo... Y si te refieres a la jornada de trabajo, pues cada dia a las 4 AM me echan de la cama :wink: y sobre lmedianoche me dejan volver, asi que algo tengo que hacer durante las 20 horas :roll:

Y en el trabajo, como ahora, entre llamada y llamada de atencion a clientes y dirigir el trabajo de mis compañeros, pues siempre hay huecos que relleno con vosotr@s

Ya me iría bien una cañita, pero mejor me voy a la maquina de café o la de agua fría, que no hace daño y conmviene no deshidratarse

Y sobre lo de que estas rodeada de agua, te situo en el Pais Valencià y muchas islas no tiene... asi que si no estas navegando pero no por Internet sino por la Albufera, pues un cacho de tierra que te una al continente si tienes, no ?

Bueno, de las muestras enviadas hemos controlado un VUNDO8 y un JuanSearch que pasamos a controlar con la version de hoy del ELISTSRA 14.40, que estará disponible en esta web a partir de las 16 H GMT, descargala entionces y tras probarla nos vuelves a postear el infosat,txt, gracias

Y si ya para entonces has conseguido eliminar los ficheros que te deciamos y con el ELISTARA liquidas estos otros, dinos si persiste algun problema y lo vemos.

saludos

ms, 11.07.2007

Sol_71 · Mensaje por **Sol_71** » 11 Jul 2007, 18:31

Bueno, debes ser sobrenatural, o extraterrestre, sino no veo como te lo montas.:wink:Y 20 horas con todo lo que me dices, ya me estreso sólo de pensarlo XD.

A las 4 am, están las carreteras ya puestas??? :)

Lo de la cañita... lo que cuenta es la reunión, la desconexión y la charla.

Y tu GPS, no va del todo fino. Som Eivissenca. Lo de pescar lo dejamos para el invierno que tenemos más tiempo y es nuestra gran pasión entre otras, ahora esto es de locos. Hoy estoy muy cabreada :evil: , que menuda nos ha hecho el barco de iscomar. Ya verás el telediario, si es que te da tiempo.

En fins...

El ratón ya vuelve a ir como una cabra. Esto si que molesta que para abrir una carpetita, o hacer algo, casi agujereo el teclado.

Te paso el log de EliStaA antes de reiniciar:

EliNotify v1.7.07.10 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\AWVTR"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\ljjgdaa.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\LJJGDAA"

Desinstalado EliNotif.dll

Wed Jul 11 10:26:42 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINXTX32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 11 15:37:32 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\NNNMJGD] -> C:\WINDOWS\SYSTEM32\nnnmjgd.dll

Key Eliminada [WinLogon\Notify\awvtr] -> C:\WINDOWS\SYSTEM32\AWVTR.DLL

[WinLogon\Notify\WINXTX32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\NNNMJGD.DLL.Muestra EliStartPage v14.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NNNMJGD.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWVTR.DLL.Muestra EliStartPage v14.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWVTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTVWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{40BFB597-8CF0-40B2-92E5-D013B92486E6}" -> C:\WINDOWS\system32\awvtr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 11 15:37:49 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

Wed Jul 11 16:29:34 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\NNNMJGD] -> C:\WINDOWS\SYSTEM32\nnnmjgd.dll

Key Eliminada [WinLogon\Notify\awvtr] -> C:\WINDOWS\SYSTEM32\AWVTR.DLL

Entrada Eliminada [HKLM\...\Run] "icq.com"="rundll32.exe "C:\WINDOWS\system32\psuptkyf.dll",forkonce" (Vundo)

[WinLogon\Notify\WINXTX32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\NNNMJGD.DLL.Muestra EliStartPage v14.40

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NNNMJGD.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWVTR.DLL.Muestra EliStartPage v14.40

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWVTR.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\PSUPTKYF.DLL.Muestra EliStartPage v14.40

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PSUPTKYF.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\RTVWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{4380ED2F-298C-40CD-9DC0-C47C2204DBB2}" -> C:\WINDOWS\system32\awvtr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 11 16:29:56 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\AUNXQXNY.DLL.MUESTRA ELISTARTPAGE V14.38 --> Eliminado, JuanSearch(BHO)

C:\Muestras\AWMPLEWH.DLL.MUESTRA ELISTARTPAGE V14.39 --> Eliminado, Vundo8

C:\Muestras\INPHBWGS.DLL.MUESTRA ELISTARTPAGE V14.38 --> Eliminado, JuanSearch(BHO)

C:\Muestras\LTBPOSPJ.DLL.MUESTRA ELISTARTPAGE V14.38 --> Eliminado, Vundo8

C:\Muestras\MPRTJNRX.DLL.MUESTRA ELISTARTPAGE V14.38 --> Eliminado, Vundo8

C:\Muestras\XPJMOMIU.DLL.MUESTRA ELISTARTPAGE V14.39 --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\AUNXQXNY.DLL.VIR --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\AWMPLEWH.DLL.VIR --> Eliminado, Vundo8

C:\WINDOWS\system32\MPRTJNRX.DLL.VIR --> Eliminado, Vundo8

C:\WINDOWS\system32\XPJMOMIU.DLL.VIR --> Eliminado, JuanSearch(BHO)

Instalada Utilidad "ELINOTIF.DLL"

---

DEspués de reiniciar:

Lo vuelvo a pasar

EliNotify v1.7.07.10 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\AWVTR"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\nnnmjgd.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\NNNMJGD"

Desinstalado EliNotif.dll

Wed Jul 11 16:58:10 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINXTX32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 11 16:58:19 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

---

Ah ayer me bajé la utilidad de McAfee Site Advisor, de momento va bastante bien. (Y para el firefox :) )

Saludos

Sol_71 · Mensaje por **Sol_71** » 11 Jul 2007, 19:39

Estoy pasando el antivirus nod32 de nuevo por que ahora mismo es dificil navegar y moverme por el escritorio.

Este mensaje ha salido enseguida de ejecutarlo:

Se ha detectado infección con Variante modificada de Win32/Adware.PurityScan aplicación en la memoria operativa. No puede ejecutarse acción cuando el archivo está en la memoria operativa. Pulse en el botón [Sin acciones] para continuar con la desinfección de los discos locales. La infección en la memoria operativa ha sido originada en el archivo C:\WINDOWS\system32\Μicrosoft\υѕerinit.exe.

Saludos

Mensaje por **msc hotline sat** » 11 Jul 2007, 19:59

Pues ha hecho buena faena la version 14.40 del ELISTARA !

Ya solo falta que nos envies para analizar este sospechoso:

Por favor, envienos una muestra del fichero

C:\WinLogon\WINXTX32.DLL

y sobre lo que te dice el NOD32, desactiva la restauracion de sistema, arranca en modo seguro y lanzalo de nuevo, que de esta forma debería poder eliminarlo. Luego no te olvides de volver a activar la restauracion de sistema

Bueno, casi ya vemos la luz !!!

Y sobre lo de iscomar, no me he enterado. Estoy enclaustrado en el servcio tecnico, donde no vemos ni la luz del día, y aun te quejas ... !!! Solo salgo a las 15 horas para ir a comer a un restaurante cercano y antes de las 16 ya estamos de vuelta !

Es que en verano hacemos jornada intensiva, (de 9 a 10 , si de 9 de la mañana a 10 de la noche :wink: ), no ahora en serio, el personal hace de 8 a 15 h, pero por la tarde se está mas tranquilo, los telefonos no suenan , nadie te pregunta nada y puedes estar por la labor.

Sobre lo de Eivissa, pues entras a Internet por un nudo de Valencia, te voy a mirar latitud y longitud para ser mas exacto:

Latitud 39.4667 y Longitud -0.3667 y es que en Eivissa no debe llegar la Red y conectais desde aqui.

Al mirar esto he visto lo del ferry de iscomar, pues mira, a Eissa hace tiempo que no he ido, hacemos escapadas a Ciutadella en Menorca, pero los ferrys son los mismos...

Bueno me voy para el pueblo, que ya es hora. Alli tengo mi otra oficina...

saludos

ms, 11-07-1007

Sol_71 · Mensaje por **Sol_71** » 18 Jul 2007, 14:04

Como pasan los días!!! a mi me vuelan no quiero pensar los tuyos :)

He ido liadisima i sigo, me sabe mal no haber contestado tu último e-mail, después de toda tu preocupación. :oops:

A ver...

me pides copia del archivo C:\WinLogon\WINXTX32.DLL

yo he mirado en la carpeta C:\WinLogon, y no està este archivo, en su lugar hay AWVTR.DLL , és lo único q hay.

Se ha mejorado mucho las cosas raras q hacía el ordenador pero aún persisten. He hecho lo que me has dicho y más.

Voy a ir copiando todo lo que tengo, q aún no lo he hecho. Y creo q formatearé y ala. No quiero absorverte tampoco.

El NOD32, detecta algunas cosas que no puede borrar ni hacer nada. te paso una de ellas.

C:\WINDOWS\SYSTEM32\gebaxut.dll -

afectado por:

Win32/Adware.Virtumonde aplicación

El Tema de la conexión del router, soy una mera usuaria, que me gusta indagar y aprender.

Empecé con un modem de 14.400, luego 28.800, 56...estos se conectaban al teléfono. Se oía como se marcaba.

Luego un amigo q ponía adsl's, nos la puso de las primeritas, tenemos terra, ahora veo que poden teléfonica, no sé si están juntas o revueltas, pero ahora se paga la ip fija. Yo la tengo desde un principio, sin pagar. No sé desde dónde enganchamos. Tú has visto Valencia, seguramente, és lo más cerca que tenemos.

Bueno lo de vuestras horas de trabajo es de locos, os haremos un monumento y a tí en especial, los foreros :)

En el pueblo no sabes que está prohibido tener oficina? jeje

Con lo a gustito que estarás allí descansando.

Lo del iscomar, lo han magnificado mucho. Se habían cerrado 3 playas, ahora sólo 2, y seguramente hoy quedará sólo una. Tenemos 56 entre playitas y calas. Las imagenes de la tele, se han grabado de nuestro barco, mi padre es lo samaritano que puede también y entre su curro que ahora mísmo no es poco, pues hace lo que puede.

Relajate o que te relajen jeje, que trabajar mucho es malo para la salud. Mi suegro se acaba de jubilar (ya forzoso) y literalmente no sabe que hacer ahora mísmo. Y es que no ha parado en su vida. De horas como tú + ó -.

Un gran saludo

Sol_71 · Mensaje por **Sol_71** » 18 Jul 2007, 14:06

Tu último e-mail... me refiero a tu última respuesta.

Ayss como estoy :)

Sol_71 · Mensaje por **Sol_71** » 18 Jul 2007, 14:18

Estaba mirando mis correos, y ya te había enviado el archivo

WINXTX32.DLL

fué el día 10/7, a no ser que quieras ese mísmo a día de hoy.

Ye te he comentado en mi anterior post, lo que ocurre.

Sol_71 · Mensaje por **Sol_71** » 18 Jul 2007, 17:08

Wed Jul 18 13:31:43 2007

EliStartPage v14.44 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\GEBAXUT] -> C:\WINDOWS\SYSTEM32\gebaxut.dll

Key Eliminada [WinLogon\Notify\awvtr] -> C:\WINDOWS\SYSTEM32\AWVTR.DLL

Entrada Eliminada [HKLM\...\Run] "icq.com"="rundll32.exe "C:\WINDOWS\system32\dlerckji.dll",forkonce" (Vundo)

Key Eliminada [WinLogon\Notify\AWVTR] -> C:\WINDOWS\SYSTEM32\AWVTR.DLL

[WinLogon\Notify\GEBAXUT]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\GEBAXUT.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\GEBAXUT.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\AWVTR.DLL --> Vundo6(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DLERCKJI.DLL.Muestra EliStartPage v14.44

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLERCKJI.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\GEBAXUT.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\AWVTR.DLL --> Vundo6(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTVWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{941508F8-CCD9-44E0-AC29-4F1E141373F7}" -> C:\WINDOWS\system32\gebaxut.dll

Eliminada Class, "{FD2A7D3A-3DA1-4CA5-AD39-B4C3A72B567F}" -> C:\WINDOWS\system32\ljjgdaa.dll

Eliminada Class, "{44A00A61-0F87-4753-941E-7AFAA8E06985}" -> C:\WINDOWS\system32\awvtr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 18 13:32:31 2007

EliStartPage v14.44 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\AWVTR.DLL.MUESTRA ELISTARTPAGE V14.39 --> Eliminado, Vundo6(notify)

C:\Muestras\AWVTR.DLL.MUESTRA ELISTARTPAGE V14.40 --> Eliminado, Vundo6(notify)

C:\Muestras\PSUPTKYF.DLL.MUESTRA ELISTARTPAGE V14.40 --> Eliminado, Vundo8

C:\WINDOWS\system32\AWVTR.DLL --> Acceso Denegado, Vundo6(notify)

C:\WINDOWS\system32\DDAYX.DLL --> Eliminado, Vundo6(notify)

C:\WINDOWS\system32\ICAMDTXD.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\KGOGYHBH.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\PSUPTKYF.DLL.VIR --> Eliminado, Vundo8

C:\WINDOWS\system32\YCVDRVJG.DLL --> Eliminado, Vundo8

C:\WinLogon\AWVTR.DLL --> Eliminado, Vundo6(notify)

Instalada Utilidad "ELINOTIF.DLL"

Mensaje por **msc hotline sat** » 18 Jul 2007, 17:13

Tras reiniciar habrá arrancado con el ELISTARA y seguido gracias al ELINOTIF, pero ha copiado el infosat antes de reiniciar y acabar el proceso...

Ahora que ya habrá reciniciado, posteenos de nuevo el infosat,txt y veremos el final de la pelicula, a ver si el problema con el DLERCKJI.DLL persiste o se acabó

[quote]
Por favor, envienos una muestra del fichero

C:\Muestras\DLERCKJI.DLL.Muestra EliStartPage v14.44

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLERCKJI.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\GEBAXUT.DLL --> Acceso Denegado.
[/quote]

saludos

ms, 18-07-2007

Sol_71 · Mensaje por **Sol_71** » 18 Jul 2007, 18:42

EliNotify v1.7.07.10 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\AWVTR"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\gebaxut.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\GEBAXUT"

Desinstalado EliNotif.dll

Wed Jul 18 16:24:10 2007

EliStartPage v14.44 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{941508F8-CCD9-44E0-AC29-4F1E141373F7}" -> C:\WINDOWS\SYSTEM32\gebaxut.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

También le he enviado la muestra que me pide.

Saludos

Mensaje por **msc hotline sat** » 19 Jul 2007, 12:16

Bueno, por lo menos vemos que el GEBAXUT que tambien daba acceso denegado, se ha podido eliminar, y esperemos que con la muestra que nos has enviado , podamos hacer lo propio con el DLERCK

Cuando la recibamos la analizaremos e informaremos

saludos

ms, 19-07-2007

Ordenador colapsado x varios virus ¿ startdrv.exe ?

Ordenador colapsado x varios virus ¿ startdrv.exe ?

log antivirus on line panda

Infosat.txt / log Elistara

log Elistara y repaso de e-mails

log de hoy del antivirus nod32

Log EliStarA 14.40

nod32

C:\WinLogon\WINXTX32.DLL

WINXTX32.DLL

InfoSat EliStartPage v14.44