Posible_Vundo (SOLUCIONADO)

nayx · Mensaje por **nayx** » 21 Jul 2007, 01:39

hola, quiciera ver si pueden ayudarme, tengo un troyano, casi no se de computadoras ni nada de eso, pero le he pasado en AVG anti-spyware y me indica q tengo Not-A-Virus.Downloader.Win32.WinFixer.m, no me dejo borrarlo ya que dice q esta incrustado en win32 y no me atrevi a borrar toda la ruta, tambien tengo el VundoFix y casi diario remuevo bichos con el, tambien diario hago limpieza y reparo problemas con el Ccleaner, mi antivirus es el Trend pero no me registra nada, asi q he hecho algunos escaneos en linea desde la pagina de Trend y me detecta POSIBLE_VUNDO el cual no puede borrar, ojala les sea posible orientarme para eliminarlo sin pasarle el panda en linea ya q la ultimavez q lo hice me causo problemas para borrar los archivos q deja en mi lap.

acabo de descargar el hijackthis y este es el log:

Logfile of HijackThis v1.99.1
Scan saved at 05:46:32 p.m., on 20/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Archivos de programa\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
c:\TOSHIBA\IVP\swupdate\swupdtmr.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Archivos de programa\TOSHIBA\TME3\Tmesrv31.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\TEMP\HP3DA1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Archivos de programa\Iusacell\QuickLink Mobile\QuickLink Mobile.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Documents and Settings\jbarrera\Escritorio\naye\salva lap\hijackthis\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.toshibalatino.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.jword.jp/jwd_sb_srchcust.htm?ielang={SUB_RFC1766}
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: MyUrlSrcHook Class - {D2A5245A-B682-4C26-A507-173A774B2E70} - C:\WINDOWS\DOWNLO~1\CnsMinIdn.dll
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Iniciador rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Visit &japanese keywords - res://C:\WINDOWS\DOWNLO~1\CnsMin.dll/203
O14 - IERESET.INF: START_PAGE_URL=http://www.toshibalatino.com
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_es.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://nayesoqui.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B130816-1048-46F1-A3C2-6F5D96BFDFEC} (HuellaDigital.COMHuellaDigital) - https://www.bancoazteca.com.mx/eBanking/resources/HuellaDigital.CAB
O16 - DPF: {E596DF5F-4239-4D40-8367-EBADF0165917} - http://es.winantivirus.com/download/2006/download.php?file=2&aid=nm_ba_amnt6_mtrt_mx_es&lid=spyware&affid=nm_67678_38c5dec6324c11dc9175f67678ffffff_ecc59697e43d4b3d88276db66bce8fa3
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = GRUPO_ELEKTRA
O17 - HKLM\Software\..\Telephony: DomainName = GRUPO_ELEKTRA
O17 - HKLM\System\CCS\Services\Tcpip\..\{047A5B0C-F7C8-461B-BD30-92F10A402E51}: NameServer = 207.83.200.200 4.2.2.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{232DA23A-8F2D-4C6D-8FBC-2ED1D5203FC4}: NameServer = 150.200.140.80,200.23.242.193
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B38317-6F6B-4365-8895-402A744CB7D0}: NameServer = 150.200.140.80,200.23.242.193
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = GRUPO_ELEKTRA
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DpHost - DigitalPersona, Inc. - C:\Archivos de programa\DigitalPersona\Bin\DpHost.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Swupdtmr - Unknown owner - c:\TOSHIBA\IVP\swupdate\swupdtmr.exe
O23 - Service: Protección de disco duro de TOSHIBA (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Archivos de programa\TOSHIBA\TME3\Tmesrv31.exe" /Service (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

muchas gracias!

nayx · Mensaje por **nayx** » 21 Jul 2007, 04:18

aqui les dejo tambien lo q el AVG me dio:

G Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 08:22:01 p.m. 20/07/2007

+ Resultado del análisis:

C:\System Volume Information\_restore{3E37DB4B-DC0F-4DB2-A8FF-8F2CA951FBF9}\RP9\A0045940.exe -> Downloader.Tiny.id : Limpios con copia de seguridad (en cuarentena).

C:\System Volume Information\_restore{3E37DB4B-DC0F-4DB2-A8FF-8F2CA951FBF9}\RP9\A0045947.exe -> Downloader.Tiny.id : Limpios con copia de seguridad (en cuarentena).

C:\VundoFix Backups\hngxfxcb.exe.bad -> Downloader.Tiny.id : Limpios con copia de seguridad (en cuarentena).

::Fin del informe

gracias! buen fin de semana!

Mensaje por **msc hotline sat** » 21 Jul 2007, 10:51

Envíenos estos ficheros para analizar:
C:\Archivos de programa\Iusacell\QuickLink Mobile\QuickLink Mobile.exe (Posible Heuristic.Win32.Dialer)

y elimine de entrada estas claves:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.jword.jp/jwd_sb_srchcust.htm?ielang={SUB_RFC1766}
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_es.cab
O16 - DPF: {E596DF5F-4239-4D40-8367-EBADF0165917} - http://es.winantivirus.com/download/2006/download.php?file=2&aid=nm_ba_amnt6_mtrt_mx_es&lid=spyware&affid=nm_67678_38c5dec6324c11dc9175f67678ffffff_ecc59697e43d4b3d88276db66bce8fa3

-> Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras analizar dichas muestras procederemos a implementar su control y elimiacion en nuestras utilidades, de lo cual informaremos

saludos
ms, 21-07-2007

nota: Aparte, para estos que tiene en el RESTORE o en CUARENTENA, desactive la restauración de sistema, arranque en modo seguro y podrá acceder a ellos, empaquetelos en este modo en un ZIP con password VIRUS y tras reiniciar podrá enviarnoslos con los otros. ms.

nayx · Mensaje por **nayx** » 21 Jul 2007, 21:39

me da mucha pena, pero no se mucho de esto de las maquinas, me da pena preguntarles...pero como le envio los ficheros, o a q se refieren con ese término? porque segun yo el C:\Archivos de programa\Iusacell\QuickLink Mobile\QuickLink Mobile.exe es de lo de mi tarjeta bam de iusacell.....

ah!! y como empaco esos archivos en Zip con password Virus?

de verdad disculpen mi ignorancia.

tambien he tratado de descargar los 2 programas q me indicaron...pero no puedo...no viene ningun link y los q estan tienen otros nombres.... :oops:

Mensaje por **msc hotline sat** » 21 Jul 2007, 21:43

En nuestra base de datos existe un fichero con dicho nombre que es un Dialer, pero es que igual no es el suyo, piense que el nombre dice poco, lo que cuenta es el interior, por esto pedimos muestra, pero si esta seguro que es lo que dice, no hace falta que nos la envie.

Y lo que indica de como se hace, pues en opciones avanzadas del WINRAR por ejemplo permite empaquetra con password, de forma que los ficheros que contenga vayan encriptados y no se puedan detectar cadenas conocidas e interceptarlas.

Pero de momento elimine las claves indicadas y, tras reiniciar, comentenos el resultado, gracias

saludos

ms, 21-07-2007

nayx · Mensaje por **nayx** » 21 Jul 2007, 21:59

el elistara es lo mismo que el elishell o q el elilesli? por q no encuentro un link q diga presisamente elistara....tampoco el elinotif..... :oops:

Mensaje por **msc hotline sat** » 21 Jul 2007, 22:04

En SATINFO tenemos cientos y cientos de utilidades, pero todas ellas diferentes, y las que tenemos en evaluación en este foro, en la misma pagina de descarga se indica lo que son y lo que se ha implementado en cada versión.

No tiene nada que ver el ELISHELL con el ELISTARA, claro, el ELISHELL restaura la clave del shell del EXPLORER modificada por algunos virus, mientras que el ELISTARA controla y elimina miles de troyanos y malwares

Aquí tienes link para probar los ELISTARA/ELINOTIF:

ELISTARA: http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL: http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminación y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 21-07-2007

nota: y mira en http://www.zonavirus.com/descargas/util ... atinfo.asp

nayx · Mensaje por **nayx** » 21 Jul 2007, 22:35

sogo teniendo el mismo problema para descargar.....si entro adonde me dijo....pero los unicos links delelistara son de foros de descripciones....no encuentro donde le pueda dar click e inicie la descarga.... :(

nayx · Mensaje por **nayx** » 21 Jul 2007, 22:36

ya...sorry.

Mensaje por **msc hotline sat** » 21 Jul 2007, 22:44

Pues buenas noches, que es hora de cenar... y hasta mañana, que será otro día

Si teienes algun otro problema, postealo y lo veremos, aparte, no te olvides de postear el contenido de c:\infosat.txt resultante de cada prueba que hagas con nuestras utilidades.

saludos

ms, 21-07-2007

nayx · Mensaje por **nayx** » 22 Jul 2007, 01:56

aqui esta el log del elistara:

Sat Jul 21 16:58:19 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\URQRPMJ] -> C:\WINDOWS\SYSTEM32\urqrpmj.dll

Key Eliminada [WinLogon\Notify\sstts] -> C:\WINDOWS\SYSTEM32\SSTTS.DLL

Entrada Eliminada [HKLM\...\Run] "icq.com"="rundll32.exe "C:\WINDOWS\system32\qbhaoliu.dll",forkonce" (Vundo)

[WinLogon\Notify\SSTTS]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTS.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\URQRPMJ]

Por favor, envienos una muestra del fichero

C:\WinLogon\URQRPMJ.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\URQRPMJ.DLL.Muestra EliStartPage v14.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\URQRPMJ.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTS.DLL.Muestra EliStartPage v14.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTS.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\QBHAOLIU.DLL.Muestra EliStartPage v14.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QBHAOLIU.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\CNSMINIDN.DLL.Muestra EliStartPage v14.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\DOWNLO~1\CNSMINIDN.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\STTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{118CE65F-5D86-4AEA-A9BD-94F92B89119F}" -> C:\WINDOWS\DOWNLO~1\CnsMinIdn.dll

Eliminada Class, "{342327A0-DC16-4CFD-B2A3-F8AB9650EA0B}" -> C:\WINDOWS\system32\sstts.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Sat Jul 21 17:00:03 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\URQRPMJ] -> C:\WINDOWS\SYSTEM32\urqrpmj.dll

Key Eliminada [WinLogon\Notify\sstts] -> C:\WINDOWS\SYSTEM32\SSTTS.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\URQRPMJ.DLL.Muestra EliStartPage v14.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\URQRPMJ.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTS.DLL.Muestra EliStartPage v14.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTS.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\STTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{342327A0-DC16-4CFD-B2A3-F8AB9650EA0B}" -> C:\WINDOWS\system32\sstts.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jul 21 17:01:04 2007

EliStartPage v14.47 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

C:\WINDOWS\system32\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\WINDOWS\system32\VEMUGONF.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\ReinstallBackups\0012\DriverFiles\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\WINDOWS\system32\ReinstallBackups\0013\DriverFiles\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

Instalada Utilidad "ELINOTIF.DLL"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

----------------

no he podido averiguar como acceder y eliminar las entradas que me mencionó....es desde el registro? o como las puedo encontrar? :roll:

gracias!

conchirrin · Mensaje por **conchirrin** » 22 Jul 2007, 03:37

Nayx el elistara te pide que le envies muestras ,asi que podias ir mandandoselas para que el lunes cuando entren a trabajar ya las tengan , asi las analizan .

C:\WinLogon\SSTTS.DLL

C:\WinLogon\URQRPMJ.DLL

C:\Muestras\URQRPMJ.DLL.Muestra EliStartPage v14.47

C:\Muestras\SSTTS.DLL.Muestra EliStartPage v14.47

C:\Muestras\QBHAOLIU.DLL.Muestra EliStartPage v14.47

C:\Muestras\CNSMINIDN.DLL.Muestra EliStartPage v14.47

aqui puedes ver como envias las muestras

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ademas no te iria mal actualizar el pc,

Mensaje por **msc hotline sat** » 22 Jul 2007, 10:09

Faltaba reiniciar antes de postear el log del infosat... Es posible que muchos de los ficheros ya los haya eliminado, posteanos de nuevo el infisat actual y lo veremos.

Aparte, para actualizar parches, recuerda:

WINDOWSUPDATE:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

saludos

ms, 22-07-2007

nayx · Mensaje por **nayx** » 22 Jul 2007, 11:50

ok , pero como encuentro las entradas q me pidieron q eliminara? es desde el registro? porq entre ahi y las busque en la opcion de busqueda y no las encontré.... :?

segun lei ahi se me indica q las puedo eliminar lanzando el HJT (que es? es el hijackthis? )

sorry...esq casi no se d esto....espero me tengan un poquitin de pasciencia.

y para enviarles las muestras....quieren q les envie los archivos verdad? :?

bueno de cualqier forma lo hare y si la riego lo intentare de nuevooo! hasta eliminar ese bichote.

gracias y buenas noches.

Mensaje por **msc hotline sat** » 22 Jul 2007, 12:48

Sí, las claves se eliminan lanzando el HJT (HiJackThis) en modo seguro y tras marcar las claves a eliminar, pulsar FIXCHECKED

Y las muestras solicitadas son los ficheros sospechosos pedidos.

Se resume con lo indicado en:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 22-07-2007

nayx · Mensaje por **nayx** » 23 Jul 2007, 04:18

hola buenas tardes, tuve un problema al quere enviar los ficheros de muestra, resulta que hotmail no me permitió enviarlos pues me indica que contienen virus y no le fue posible limpiarlos con el Trend. pero no son los seis que me pidieron, solo tengo 4 y son:
C:\Muestras\QBHAOLIU.DLL.Muestra EliStartPage v14.47
C:\Muestras\CNSMINIDN.DLL.Muestra EliStartPage v14.47
C:\Muestras\SSTTS.DLL.Muestra EliStartPage v14.47
C:\Muestras\URQRPMJ.DLL.Muestra EliStartPage v14.47

hay alguna otra forma de enviarlos?

y ya elimine las entradas que me pidieron aqui les pego el log del HJT:

Logfile of HijackThis v1.99.1
Scan saved at 08:12:42 p.m., on 22/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Archivos de programa\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
c:\TOSHIBA\IVP\swupdate\swupdtmr.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Archivos de programa\TOSHIBA\TME3\Tmesrv31.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\RU751E.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Archivos de programa\Iusacell\QuickLink Mobile\QuickLink Mobile.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\jbarrera\Escritorio\naye\salva lap\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\xbrmlncq.dll",forkonce
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Iniciador rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Visit &japanese keywords - res://C:\WINDOWS\DOWNLO~1\CnsMin.dll/203
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.toshibalatino.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://nayesoqui.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185094495140
O16 - DPF: {7B130816-1048-46F1-A3C2-6F5D96BFDFEC} (HuellaDigital.COMHuellaDigital) - https://www.bancoazteca.com.mx/eBanking/resources/HuellaDigital.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = GRUPO_ELEKTRA
O17 - HKLM\Software\..\Telephony: DomainName = GRUPO_ELEKTRA
O17 - HKLM\System\CCS\Services\Tcpip\..\{047A5B0C-F7C8-461B-BD30-92F10A402E51}: NameServer = 207.83.200.200 4.2.2.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{232DA23A-8F2D-4C6D-8FBC-2ED1D5203FC4}: NameServer = 150.200.140.80,200.23.242.193
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B38317-6F6B-4365-8895-402A744CB7D0}: NameServer = 150.200.140.80,200.23.242.193
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = GRUPO_ELEKTRA
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DpHost - DigitalPersona, Inc. - C:\Archivos de programa\DigitalPersona\Bin\DpHost.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Swupdtmr - Unknown owner - c:\TOSHIBA\IVP\swupdate\swupdtmr.exe
O23 - Service: Protección de disco duro de TOSHIBA (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Archivos de programa\TOSHIBA\TME3\Tmesrv31.exe" /Service (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

gracias y saludos!

Mensaje por **msc hotline sat** » 23 Jul 2007, 07:07

Pues claro, tal como le decimos en las instrucciones al respecto -> Para ello recordar: viewtopic.php?f=2&t=45334

empaquete los ficheros en un ZIP o RAR con passwrod VIRUS y envíenos dicho fichero ZIP o RAR, que pasará por todas partes sin ser detectado

Para ello, desactive su antivirus o arranque en modo seguro para que no esté activo.

saludos
ms, 23-07-2007

Mensaje por **msc hotline sat** » 23 Jul 2007, 07:08

Y añada a los ficheros sospechosos a enviar, estos:
C:\WINDOWS\system32\xbrmlncq.dll Base de datos: posible (%system%\XBRMLNCQ.DLL -> VUNDO - Virtual Mundo)
C:\Archivos de programa\Iusacell\QuickLink Mobile\QuickLink Mobile.exe Base de datos : posible (C:\Program Files\Verizon Wireless\QuickLink Mobile\QuickLink Mobile.exe -> Heuristic.Win32.Dialer )

ms.

nayx · Mensaje por **nayx** » 23 Jul 2007, 09:12

Listo, porfin he podido enviarlas muestras, le pido una disculpa, soy novata en esto y me costo un poco de trabajo, pero ya esta, el archivo del que me hace referencia C:\Archivos de programa\Iusacell\QuickLink Mobile\QuickLink Mobile.exe es solo mi tarjeta iusacell que usa mi lap para poderme conectar a internet.

les agradesco mucho por tomarse el tiempo de leerme y por su paciencia.

saludos.

la contraseña es MUESTRAS

Mensaje por **msc hotline sat** » 23 Jul 2007, 09:14

Ya vimos que la ruta no coincidía con la de la base de datos, pero mas valía asegurarse. Siendo conocido por tí ya no ha lugar, nos centraremos en el otro.

saludos

ms, 23.07.2007

nayx · Mensaje por **nayx** » 25 Jul 2007, 02:34

hola, buenas tardes, quiciera preguntarles que mas puedo hacer...

Mensaje por **msc hotline sat** » 25 Jul 2007, 06:25

Pues los de analisis no van a poder abrir el fichero por lo que indica de "la contraseña es MUESTRAS" siempre se indica que la contraseña sea "VIRUS"

-> Para ello recordar: viewtopic.php?f=2&t=45334

Así que mejor repita el envió ... Aun ni hemos podido acceder a los correos desde el lunes a las 11 y cuantas mas facilidades se den mejor, pues costará ponernos al día.

saludos
ms. 25-07-2007

nayx · Mensaje por **nayx** » 28 Jul 2007, 22:18

Hola buenas tardes.
Me es grato informarles que gracias a su ayuda mi lap esta totalmente limpia, ayer mi esposo la reviso(es ing. en sisitemas) y me dijo q esta totalmente limpia!!

Les agradezco mucho el tiempo que se tomaron para leerme y sobretodo porq la quería arreglar antes d q mi esposo llegara d viaje (PUF!) jeje.

MUCHAS GRACIAS POR TODO!!!!!!!!!!!!!!!!

bye!!

Mensaje por **msc hotline sat** » 29 Jul 2007, 09:32

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 29 de Julio de 2007

Posible_Vundo (SOLUCIONADO)

Posible_Vundo (SOLUCIONADO)

ups se me olvido

hola gracias!