Pues con la version del ELISTARA de ayer, 14.45 ya se controlaba este VUNDO 8 ...
Siempre se ha de probar la ultima version disponible.
saludos
ms, 19-07-2007
Ordenador colapsado x varios virus ¿ startdrv.exe ?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Esto sigue casi igual...
Hola a todos,
Os paso resultados de los "scans" que he hecho a lo largo del día.
Sat Jul 21 17:31:17 2007
[b]EliStartPage[/b]
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\awvtr] -> C:\WINDOWS\SYSTEM32\AWVTR.DLL
C:\WINDOWS\SYSTEM32\RTVWA.ini --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\RTVWA.tmp --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Jul 21 17:31:26 2007
EliStartPage v14.44 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri Aug 03 17:51:26 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Aug 03 17:51:32 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert
Fri Aug 03 20:53:54 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
-----------------
Logfile of[b]HijackThis[/b]
Scan saved at 17:52:27, on 04/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Logitech\Video\FxSvr2.exe
C:\Documents and Settings\Lotus\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {4A6B14FA-826F-ABCB-1E10-8D8DBA2584BA} - C:\WINDOWS\system32\hqvl.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {EA0E590F-6980-4176-9ED0-EAEE91B3BFCE} - (no file)
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Remove useless applications with Autorun3 - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra 'Tools' menuitem: &Autorun3 - protection against useless applications. - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: Ajuste del explorador de Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - blank (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) -https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) -https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9120A4-1FB3-4F9F-A5C6-73FE927091B6}: NameServer = 80.58.0.33,80.58.0.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
----------------
[b]PANDA[/b]
;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-08-04 12:26:25
PROTECTIONS: 2
MALWARE: 12
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00024402 Exploit/iFrame HackTools No 0 Yes No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000705.~]
00024402 Exploit/iFrame HackTools No 0 Yes No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000709.~]
00024402 Exploit/iFrame HackTools No 0 Yes No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000889.~]
00024402 Exploit/iFrame HackTools No 0 Yes No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000625.~]
00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\Lotus\Escritorio\VirtumundoBeGone.exe[²ƒÇ]
00519333 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\Lotus\Escritorio\VirtumundoBeGone.exe
00525896 Adware/Yazzle Adware No 0 No No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc242.tmp[¦++\Yazzle1162OinAdmin.exe]
00525896 Adware/Yazzle Adware No 0 No No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc239.tmp[¦++\Yazzle1162OinAdmin.exe]
00549760 Adware/ActiveSearch Adware No 0 No No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc70.msi[unk_0061][tbhelper.dll]
01237298 Spyware/Virtumonde Spyware No 1 No No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][LJJGDAA.DLL.Muestra EliStartPage v14.37]
01240692 Spyware/Virtumonde Spyware No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc245.dll
01240695 Adware/SpywareNo Adware No 0 No No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][WINXTX32.DLL]
01251754 Adware/UltimateCleaner Adware No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc247.bak
01258305 Spyware/Virtumonde Spyware No 1 No No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][AANABOMJ.DLL.Muestra EliStartPage v14.37]
01258305 Spyware/Virtumonde Spyware No 1 No No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc220\envio9\aanabomj.rar[aanabomj.dll]
01259589 Dialer.KLY Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc234.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc238.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc237.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc235.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc241.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc236.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc240.tmp
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
--------------
[b]PANDA[/b]
Incidencia Estado Elemento
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000625.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000705.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000709.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000889.~]
Adware:Adware/SpywareNo No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][WINXTX32.DLL]
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][LJJGDAA.DLL.Muestra EliStartPage v14.37]
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][AANABOMJ.DLL.Muestra EliStartPage v14.37]
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Lotus\Escritorio\VirtumundoBeGone.exe
Spyware:Spyware/Virtumonde No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc220\envio9\aanabomj.rar[aanabomj.dll]
Dialer:Dialer.KLY No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc234.tmp
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc235.tmp
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc236.tmp
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc237.tmp
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc238.tmp
Adware:Adware/Yazzle No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc239.tmp[¦++\Yazzle1162OinAdmin.exe]
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc240.tmp
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc241.tmp
Adware:Adware/Yazzle No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc242.tmp[¦++\Yazzle1162OinAdmin.exe]
Spyware:Spyware/Virtumonde No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc245.dll
Adware:Adware/UltimateCleaner No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc247.bak
Adware:Adware/ActiveSearch
--------------------
[b]NORTON[/b]
Estado del análisis:
Análisis: 1
Iniciar análisis: 08/04/07 17:57:54
Objetivos del análisis: Procesos en ejecución; Puntos de entrada;C:\
Definiciones de virus: 08/03/07
Recuento del análisis: 230218
Riesgos detectados: 3
Riesgos resueltos: 0
Riesgos sin resolver: 3
Hora del análisis: 6504 s
Análisis completo: 08/04/07 19:46:18
Amenazas resueltas:
Amenazas sin resolver:
Trojan.Vundo
ID del virus: 28544
Riesgo: Alto
Categorías: Virus
Estado: No controlado
-----------
Archivo:
c:\Muestras\DLERCKJI.DLL.Muestra EliStartPage v14.rar
Trojan.Vundo
ID del virus: 28544
Riesgo: Alto
Categorías: Virus
Estado: No controlado
-----------
Archivo:
c:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc220\envio9\aanabomj.rar
Adware.Purityscan
ID del virus: 4294906363
Riesgo: Medio
Categorías: Software de publicidad no deseada
Estado: No controlado
-----------
Infección:
c:\RECYCLER\s-1-5-21-1004336348-920026266-854245398-1003\Dc239.tmp
Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}
HKEY_USERS\S-1-5-21-1004336348-920026266-854245398-1003\Software\Microsoft\Internet Explorer\URLSearchHooks->{CFBFAE00-17A6-11D0-99CB-00C04FD64497}:""
HKEY_USERS\S-1-5-21-1004336348-920026266-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Outerinfo
Memoria caché del navegador
Infección:
c:\RECYCLER\s-1-5-21-1004336348-920026266-854245398-1003\Dc242.tmp
c:\WINDOWS\Temp\win3468.tmp
-----------------
[b]Espero no liar con tantos scans, los pongo por si ayudan en algo.[/b]
------
Lo que me dice el Norton security scan, es que hay:
2 trojan.vundo
1 adware.purityscan
Ninguno de estos puede resolver, ni eliminar, ni nada.
En breve, voy a formatear
Saludos
Os paso resultados de los "scans" que he hecho a lo largo del día.
Sat Jul 21 17:31:17 2007
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\awvtr] -> C:\WINDOWS\SYSTEM32\AWVTR.DLL
C:\WINDOWS\SYSTEM32\RTVWA.ini --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\RTVWA.tmp --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Jul 21 17:31:26 2007
EliStartPage v14.44 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri Aug 03 17:51:26 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Aug 03 17:51:32 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert
Fri Aug 03 20:53:54 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
-----------------
Logfile of
Scan saved at 17:52:27, on 04/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Logitech\Video\FxSvr2.exe
C:\Documents and Settings\Lotus\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {4A6B14FA-826F-ABCB-1E10-8D8DBA2584BA} - C:\WINDOWS\system32\hqvl.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {EA0E590F-6980-4176-9ED0-EAEE91B3BFCE} - (no file)
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Remove useless applications with Autorun3 - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra 'Tools' menuitem: &Autorun3 - protection against useless applications. - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: Ajuste del explorador de Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - blank (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9120A4-1FB3-4F9F-A5C6-73FE927091B6}: NameServer = 80.58.0.33,80.58.0.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
----------------
;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-08-04 12:26:25
PROTECTIONS: 2
MALWARE: 12
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00024402 Exploit/iFrame HackTools No 0 Yes No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000705.~]
00024402 Exploit/iFrame HackTools No 0 Yes No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000709.~]
00024402 Exploit/iFrame HackTools No 0 Yes No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000889.~]
00024402 Exploit/iFrame HackTools No 0 Yes No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000625.~]
00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\Lotus\Escritorio\VirtumundoBeGone.exe[²ƒÇ]
00519333 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\Lotus\Escritorio\VirtumundoBeGone.exe
00525896 Adware/Yazzle Adware No 0 No No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc242.tmp[¦++\Yazzle1162OinAdmin.exe]
00525896 Adware/Yazzle Adware No 0 No No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc239.tmp[¦++\Yazzle1162OinAdmin.exe]
00549760 Adware/ActiveSearch Adware No 0 No No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc70.msi[unk_0061][tbhelper.dll]
01237298 Spyware/Virtumonde Spyware No 1 No No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][LJJGDAA.DLL.Muestra EliStartPage v14.37]
01240692 Spyware/Virtumonde Spyware No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc245.dll
01240695 Adware/SpywareNo Adware No 0 No No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][WINXTX32.DLL]
01251754 Adware/UltimateCleaner Adware No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc247.bak
01258305 Spyware/Virtumonde Spyware No 1 No No C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][AANABOMJ.DLL.Muestra EliStartPage v14.37]
01258305 Spyware/Virtumonde Spyware No 1 No No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc220\envio9\aanabomj.rar[aanabomj.dll]
01259589 Dialer.KLY Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc234.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc238.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc237.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc235.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc241.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc236.tmp
01259596 Dialer.KLZ Dialers No 1 Yes No C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc240.tmp
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
--------------
Incidencia Estado Elemento
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000625.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000705.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000709.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000889.~]
Adware:Adware/SpywareNo No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][WINXTX32.DLL]
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][LJJGDAA.DLL.Muestra EliStartPage v14.37]
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][AANABOMJ.DLL.Muestra EliStartPage v14.37]
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Lotus\Escritorio\VirtumundoBeGone.exe
Spyware:Spyware/Virtumonde No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc220\envio9\aanabomj.rar[aanabomj.dll]
Dialer:Dialer.KLY No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc234.tmp
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc235.tmp
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc236.tmp
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc237.tmp
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc238.tmp
Adware:Adware/Yazzle No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc239.tmp[¦++\Yazzle1162OinAdmin.exe]
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc240.tmp
Dialer:Dialer.KLZ No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc241.tmp
Adware:Adware/Yazzle No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc242.tmp[¦++\Yazzle1162OinAdmin.exe]
Spyware:Spyware/Virtumonde No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc245.dll
Adware:Adware/UltimateCleaner No desinfectado C:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc247.bak
Adware:Adware/ActiveSearch
--------------------
Estado del análisis:
Análisis: 1
Iniciar análisis: 08/04/07 17:57:54
Objetivos del análisis: Procesos en ejecución; Puntos de entrada;C:\
Definiciones de virus: 08/03/07
Recuento del análisis: 230218
Riesgos detectados: 3
Riesgos resueltos: 0
Riesgos sin resolver: 3
Hora del análisis: 6504 s
Análisis completo: 08/04/07 19:46:18
Amenazas resueltas:
Amenazas sin resolver:
Trojan.Vundo
ID del virus: 28544
Riesgo: Alto
Categorías: Virus
Estado: No controlado
-----------
Archivo:
c:\Muestras\DLERCKJI.DLL.Muestra EliStartPage v14.rar
Trojan.Vundo
ID del virus: 28544
Riesgo: Alto
Categorías: Virus
Estado: No controlado
-----------
Archivo:
c:\RECYCLER\S-1-5-21-1004336348-920026266-854245398-1003\Dc220\envio9\aanabomj.rar
Adware.Purityscan
ID del virus: 4294906363
Riesgo: Medio
Categorías: Software de publicidad no deseada
Estado: No controlado
-----------
Infección:
c:\RECYCLER\s-1-5-21-1004336348-920026266-854245398-1003\Dc239.tmp
Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}
HKEY_USERS\S-1-5-21-1004336348-920026266-854245398-1003\Software\Microsoft\Internet Explorer\URLSearchHooks->{CFBFAE00-17A6-11D0-99CB-00C04FD64497}:""
HKEY_USERS\S-1-5-21-1004336348-920026266-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Outerinfo
Memoria caché del navegador
Infección:
c:\RECYCLER\s-1-5-21-1004336348-920026266-854245398-1003\Dc242.tmp
c:\WINDOWS\Temp\win3468.tmp
-----------------
------
Lo que me dice el Norton security scan, es que hay:
2 trojan.vundo
1 adware.purityscan
Ninguno de estos puede resolver, ni eliminar, ni nada.
En breve, voy a formatear
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues si quiere puede eliminar estas claves:
O2 - BHO: (no name) - {4A6B14FA-826F-ABCB-1E10-8D8DBA2584BA} - C:\WINDOWS\system32\hqvl.dll (file missing)
O2 - BHO: (no name) - {EA0E590F-6980-4176-9ED0-EAEE91B3BFCE} - (no file)
O9 - Extra button: Ajuste del explorador de Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - blank (file missing)
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
Y ELIMINE TEMPORALES, VACIE PAPELERA, Y DESACTIVE LA RESTAURACION DE SISTEMA Y ARRANQUE EN MODO SEGURO CUANDO QUIERA ESCANEAR CON ANTIVIRUS...
Y aclarado en privado que lo de que va a formatear en un decir, tras eliminar estas claves y seguir las indicaciones posteriores, nos cuenta el resultado, gracias
saludos
ms, 5-04.2007
ms.
O2 - BHO: (no name) - {4A6B14FA-826F-ABCB-1E10-8D8DBA2584BA} - C:\WINDOWS\system32\hqvl.dll (file missing)
O2 - BHO: (no name) - {EA0E590F-6980-4176-9ED0-EAEE91B3BFCE} - (no file)
O9 - Extra button: Ajuste del explorador de Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - blank (file missing)
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
Y ELIMINE TEMPORALES, VACIE PAPELERA, Y DESACTIVE LA RESTAURACION DE SISTEMA Y ARRANQUE EN MODO SEGURO CUANDO QUIERA ESCANEAR CON ANTIVIRUS...
Y aclarado en privado que lo de que va a formatear en un decir, tras eliminar estas claves y seguir las indicaciones posteriores, nos cuenta el resultado, gracias
saludos
ms, 5-04.2007
ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Según lo indicado, les paso resultados.
Mon Aug 06 10:46:07 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Mon Aug 06 13:13:24 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Aug 06 13:13:40 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
--------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 10:42:04, on 06/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Lotus\Escritorio\scan_4agosto\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Remove useless applications with Autorun3 - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra 'Tools' menuitem: &Autorun3 - protection against useless applications. - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) -https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) -https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9120A4-1FB3-4F9F-A5C6-73FE927091B6}: NameServer = 80.58.0.33,80.58.0.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
----------------------------------------------------------------------
[b]RESULTADO DEL ESCANEO PANDA ONLINE[/b]
Incidencia Estado Elemento
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Mozilla\Firefox\Profiles\53z44l2p.sol\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Mozilla\Firefox\Profiles\53z44l2p.sol\cookies.txt[.statcounter.com/]
Spyware:Cookie/Advertising No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Mozilla\Firefox\Profiles\53z44l2p.sol\cookies.txt[.advertising.com/]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000625.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000705.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000709.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000889.~]
Adware:Adware/SpywareNo No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][WINXTX32.DLL]
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][LJJGDAA.DLL.Muestra EliStartPage v14.37]
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][AANABOMJ.DLL.Muestra EliStartPage v14.37]
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Lotus\Escritorio\VirtumundoBeGone.exe
-------------------------------------------------------------
Según escaneo con Norton, no hay virus.
Antes de hacer lo indicado, nombraba Adware.Purityscan y trojan.vundo
Sigue el ratón haciendo algunas virguerías.
Saludos
Mon Aug 06 10:46:07 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Mon Aug 06 13:13:24 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Aug 06 13:13:40 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
--------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 10:42:04, on 06/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Lotus\Escritorio\scan_4agosto\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Remove useless applications with Autorun3 - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra 'Tools' menuitem: &Autorun3 - protection against useless applications. - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9120A4-1FB3-4F9F-A5C6-73FE927091B6}: NameServer = 80.58.0.33,80.58.0.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
----------------------------------------------------------------------
Incidencia Estado Elemento
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Mozilla\Firefox\Profiles\53z44l2p.sol\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Mozilla\Firefox\Profiles\53z44l2p.sol\cookies.txt[.statcounter.com/]
Spyware:Cookie/Advertising No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Mozilla\Firefox\Profiles\53z44l2p.sol\cookies.txt[.advertising.com/]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000625.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000705.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000709.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000889.~]
Adware:Adware/SpywareNo No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][WINXTX32.DLL]
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][LJJGDAA.DLL.Muestra EliStartPage v14.37]
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][AANABOMJ.DLL.Muestra EliStartPage v14.37]
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Lotus\Escritorio\VirtumundoBeGone.exe
-------------------------------------------------------------
Según escaneo con Norton, no hay virus.
Antes de hacer lo indicado, nombraba Adware.Purityscan y trojan.vundo
Sigue el ratón haciendo algunas virguerías.
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues puedes rematar lo hecho eliminando estas claves:
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Con ello el log quedará limpio
y sobre lo que te detecta el Panda,
Veo que usas firefox, de lo que no damos soporte en este foro, pero tienes cookies que seguramente puedes eliminar...
___
Este fichero debe estar empaquetado en un RAR, por esto no lo detectamos, pero eliminalo: Adware:Adware/SpywareNo No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][WINXTX32.DLL]
____
y estos deben ser temporales (quizas del firefox ???), yo los eliminaría , pero no uso firefox, claro.
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000625.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000705.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000709.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000889.~]
____
Y estos ficheros los aparcó el ELISTARA y pidió que enviaras muestras, lo hiciste ???
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][LJJGDAA.DLL.Muestra EliStartPage v14.37]
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][AANABOMJ.DLL.Muestra EliStartPage v14.37]
____
renombra este fichero a extension .VIR : C:\Documents and Settings\Lotus\Escritorio\VirtumundoBeGone.exe
____
Y tras todo ello entiendo que quedarás limpia de polvo y paja:wink:
saludos
ms, 8-08-2007
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
->
Con ello el log quedará limpio
y sobre lo que te detecta el Panda,
Veo que usas firefox, de lo que no damos soporte en este foro, pero tienes cookies que seguramente puedes eliminar...
___
Este fichero debe estar empaquetado en un RAR, por esto no lo detectamos, pero eliminalo: Adware:Adware/SpywareNo No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][WINXTX32.DLL]
____
y estos deben ser temporales (quizas del firefox ???), yo los eliminaría , pero no uso firefox, claro.
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000625.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000705.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000709.~]
Hacktool:Exploit/iFrame No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Inbox[~0000889.~]
____
Y estos ficheros los aparcó el ELISTARA y pidió que enviaras muestras, lo hiciste ???
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][LJJGDAA.DLL.Muestra EliStartPage v14.37]
Spyware:Spyware/Virtumonde No desinfectado C:\Documents and Settings\Lotus\Datos de programa\Thunderbird\Profiles\q9pcv7xo.default\Mail\Local Folders\Sent[Nuevo Archivo WinRAR.rar][AANABOMJ.DLL.Muestra EliStartPage v14.37]
____
renombra este fichero a extension .VIR : C:\Documents and Settings\Lotus\Escritorio\VirtumundoBeGone.exe
____
Y tras todo ello entiendo que quedarás limpia de polvo y paja
saludos
ms, 8-08-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Eliminadas las claves, paso nuevo log:
Logfile of HijackThis v1.99.1
Scan saved at 12:58:53, on 09/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Lotus\Escritorio\scan_4agosto\HijackThis.exe
C:\WINDOWS\system32\Notepad.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Remove useless applications with Autorun3 - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra 'Tools' menuitem: &Autorun3 - protection against useless applications. - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) -https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) -https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9120A4-1FB3-4F9F-A5C6-73FE927091B6}: NameServer = 80.58.0.33,80.58.0.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
----------------------
El tema del escaner online que hace el Panda. Està hecho desde Internet explorer, ya que sólo deja con este navegador.
----------------------
thunderbird, es mi programa de correo, "WINXTX32.DLL" este archivo comprimido en rar, era un correo q te envie y contenía este. Ya lo he borrado.
---------------------
AANABOMJ.DLL esta muestra que pedía EliStara, ya te la envié el 9/7. y la otra tambien, pero ahora no encuentro el ma¡l, pues tambien he ido borrando. Pero estoy casi segura.
---------------------
Los temporales, la verdad es que no los encuentro, he seguido la ruta que sale en tu comentario, pero está vacia la carpeta.
---------------------
Te pareceré tonta, pero no he sabido renombrar "VirtumundoBeGone.exe ":oops: De todas maneras lo he borrado, después de haberme bajado 2 programas gratuitos para ello y probar. No me hace falta para nada este archivo.
Ya me contarás,
Saludos
Logfile of HijackThis v1.99.1
Scan saved at 12:58:53, on 09/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Lotus\Escritorio\scan_4agosto\HijackThis.exe
C:\WINDOWS\system32\Notepad.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Remove useless applications with Autorun3 - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra 'Tools' menuitem: &Autorun3 - protection against useless applications. - {278C5E6A-395A-490A-89B7-4828F02655DC} - C:\Archivos de programa\Autorun3.1\Autorun3.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9120A4-1FB3-4F9F-A5C6-73FE927091B6}: NameServer = 80.58.0.33,80.58.0.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
----------------------
El tema del escaner online que hace el Panda. Està hecho desde Internet explorer, ya que sólo deja con este navegador.
----------------------
thunderbird, es mi programa de correo, "WINXTX32.DLL" este archivo comprimido en rar, era un correo q te envie y contenía este. Ya lo he borrado.
---------------------
AANABOMJ.DLL esta muestra que pedía EliStara, ya te la envié el 9/7. y la otra tambien, pero ahora no encuentro el ma¡l, pues tambien he ido borrando. Pero estoy casi segura.
---------------------
Los temporales, la verdad es que no los encuentro, he seguido la ruta que sale en tu comentario, pero está vacia la carpeta.
---------------------
Te pareceré tonta, pero no he sabido renombrar "VirtumundoBeGone.exe "
Ya me contarás,
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Para cambiar la extension a un fichero es tan simple como pulsar con el boton derecho dicho fichero y seleccionar CAMBIAR NOMBRE, le pones el mismo nombre pero con extension VIR y listos
Asi en el proximo arranque ya no lo pondrá en uso y dejará de incordiar.
Si tras analizarlo se viera que no es malware, se vuelve a renombrar a extension DLL.
Imagino que este fichero no es mas que una utilidad para eliminar el VUNDO, tu sabrás si la instalaste, pero como sea que es sospechosa, la sacamos de circulacion...
Y ya me contarás, pero hubiera querido irme dejandolo solucionado, y no creo... me voy esta madrugada que viene, pero creo que estás muy a punto, en todos los sentidos:wink: , por cierto que si alumbras en mi ausencia, que te vaya muy bien, "que sea una hora muy corta"...
Yo tambien tengo una hija de tu edad, creo, (82) y ya me tocaría ser abuelo, pero las hay que se hacen las remolonas:lol:
Saludos y FELICES VACACIONES
chao.
ms, 9-08-2007
Asi en el proximo arranque ya no lo pondrá en uso y dejará de incordiar.
Si tras analizarlo se viera que no es malware, se vuelve a renombrar a extension DLL.
Imagino que este fichero no es mas que una utilidad para eliminar el VUNDO, tu sabrás si la instalaste, pero como sea que es sospechosa, la sacamos de circulacion...
Y ya me contarás, pero hubiera querido irme dejandolo solucionado, y no creo... me voy esta madrugada que viene, pero creo que estás muy a punto, en todos los sentidos
Yo tambien tengo una hija de tu edad, creo, (82) y ya me tocaría ser abuelo, pero las hay que se hacen las remolonas
Saludos y FELICES VACACIONES
chao.
ms, 9-08-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Desde el inicio de la odisea, el botón derecho del ratón se ha vuelto vago y no quiere trabajar, entre otras virguerías. Tengo que mirar de desinstalar e instalar a ver si pirula de nuevo.
Dandole 3 ó 4 o más clics con cara de pocos amigos, al botón izquierdo del ratón consigo abrir el menú contextual, y ya puedo renombrar:-) grácias por la clase.
Efectivamente el archivo era para eliminar VUNDO, pero no funcionó, debía ser para otra versión o no sé. Ya lo borré como te dije.
Hasta ahora hemos "limpiado" de muchos troyanos, virus etc...el ordenador, lo que quede ya lo terminaremos. No te preocupes. Las vacaciones van primero!
Tengo 11 más que tu nena. Buena olimpiada hicisteis:-) Tienes razón que hoy en día se tarda más en tener descendencia, no tengas prisa en ser abuelo. Unos "chavales" de nuestra pandilla (60 él y 62 ella) acaban de ser abuelos. Nosotros después de 10 añitos hemos pensado que era un buen momento. Y es que uno se mal acostumbra, pereza, menos paciencia jajaja. El próximo mes, a partir del 20/9 + -, llega nuestra nena al mundo. Espero que me siga encontrando como hasta ahora, estupendamente y pueda venir por aquí a matar bichos :lol:
Super agradecida de tu ayuda!
FELICES VACACIONES, que hagas todos los excesos que puedas y que cargues las pilas un 200%
Saludos, hasta la próxima. Dèu
Dandole 3 ó 4 o más clics con cara de pocos amigos, al botón izquierdo del ratón consigo abrir el menú contextual, y ya puedo renombrar
Efectivamente el archivo era para eliminar VUNDO, pero no funcionó, debía ser para otra versión o no sé. Ya lo borré como te dije.
Hasta ahora hemos "limpiado" de muchos troyanos, virus etc...el ordenador, lo que quede ya lo terminaremos. No te preocupes. Las vacaciones van primero!
Tengo 11 más que tu nena. Buena olimpiada hicisteis
Super agradecida de tu ayuda!
FELICES VACACIONES, que hagas todos los excesos que puedas y que cargues las pilas un 200%
Saludos, hasta la próxima. Dèu