Your computer is infected! Windows has detected spyware...

tafona · Mensaje por **tafona** » 30 Ago 2007, 16:53

Buenas tardes, he sido infectado con un troyano o virus que cada vez que utilizo el ordenador me machaca con un par de pop-ups que me dicen que mi ordenador esta infectado de potencial spyware.... He seguido los pasos de eliminación que proponen en una consulta en el foro pasando el programa ELISTART, el cual he corrido tanto en modo normal y en modo seguro, el programa ha eliminado varios ficheros pero me siguen apareciendo los dichosos pop-ups. Les envío copia de ambos InfoSat, el primero es en modo normal y el segundo análisis es en modo a prueba de fallos, agradecería mucho me ayudasen a encontrar una solución, ademas de los pop-ups me ha desaparecido el acceso a panel de control y no puedo ni cambiar la hora del ordenador por que está bloquado el sistema.

Modo normal:

Thu Aug 30 13:46:02 2007

EliStartPage v14.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINAVXX.EXE.Muestra EliStartPage v14.53

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINAVXX.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v14.53

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKCU\...\Run] "WinAVX"="C:\WINDOWS\system32\WinAvXX.exe"

Entrada Eliminada [HKLM\...\Run] "WinAVX"="C:\WINDOWS\system32\WinAvXX.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

open=SpeakUp264.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Aug 30 13:47:48 2007

EliStartPage v14.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034536.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034539.EXE --> Eliminado, SpyRealtek

C:\TOOLSCD\Sound Driver\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_f300_seriedfce\HPZ3A054.DLL --> Eliminado, MoviePass

Thu Aug 30 14:00:36 2007

EliStartPage v14.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "WinAVX"="C:\WINDOWS\system32\WinAvXX.exe"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

open=SpeakUp264.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Aug 30 14:01:14 2007

EliStartPage v14.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

-------------------------------------------------------------

Modo seguro:

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034540.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034541.DLL --> Eliminado, MoviePass

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034542.DLL --> Eliminado, MoviePass

Muchas Gracias

Mensaje por **msc hotline sat** » 30 Ago 2007, 16:59

Pues tenía unos cuantos troyanos ...

Y aparte se le piden muestras de posibles variantes no controladas:

Por favor, envienos una muestra del fichero

C:\Muestras\WINAVXX.EXE.Muestra EliStartPage v14.53

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v14.53

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras recibirlas, las analizaremos e implementaremos su control y eliminacion de nuesvas versiones de nuestras utilidades, de lo cual, informaremos:

saludos

ms, 30-08-2007

tafona · Mensaje por **tafona** » 30 Ago 2007, 23:17

Muchas gracias por su pronta respuesta, los archivos de muestra solicitados ya han sido enviados comprimidos en WinRar y con contraseña VIRUS.

Slds cordiales JJ

Nelson Ayala · Mensaje por **Nelson Ayala** » 31 Ago 2007, 20:39

Hola tafona:también podrías ver si tienes todos los parches de Windows actualizados, ve a Windows Update y además envía un log de HijackThis,(siguiendo las demás instrucciones porsupuesto).

Saludos.

Mensaje por **msc hotline sat** » 31 Ago 2007, 20:47

Lo de los parches lo veriamos en el infosat, pero si quiere lanzar el windowsupdate:

WINDOWSUPDATE:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

y con las muestras que nos ha enviado, ya implementaremos su control y eliminacion en nuestras proximas versiones de ELISTARA.

De todas formas, descarga la version de hoy y pruebala, que creo que se ha añadido control de nuevas variantes de este virus en la version 14.55 de hoy

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 31-08-2007

tafona · Mensaje por **tafona** » 03 Sep 2007, 22:49

Buenas noches, perdon por el retraso en contestar y gracias de nuevo por su ayuda. Se han producido las siguientes novedades:

1. Se me olvido comentar que tengo instalado el Norton Internet Security 2006 y hasta la fecha no me había detectado nada pero el otro día después de una actualización encontró varios virus y los limpio y los dichosos pop-ups han desaparecido, en arhivo adjunto les envío el informe de las acciones tomadas por el antivurs, son las del 31 de agosto de 2007.

2. No pude comprobar si tengo todos los parches de seguridad en el windows up-date por que me da error, en cualquier caso tengo activado la actualizacion automatica.

3. Aqui está el informe de Eliastra después de pasarlo en modo seguro tras la desifección de Norton.

4. De donde puedo sacar el programa HijackThis?

5. A pesar de que el Norton me hizo la desinfección no me aparece en inicio el acceso a panel de control y no puedo acceder a sistema por lo que deduzco que el ordenador no está completamente limpio.

Saludos coridales JJ

Fri Aug 31 23:51:03 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Aug 31 23:51:12 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Common Files\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP152\A0032076.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP152\A0032077.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP152\A0032084.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP152\A0032085.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP152\A0032086.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP152\A0032101.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP152\A0032102.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP152\A0032103.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033101.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033102.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033103.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033294.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033295.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033296.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033320.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033321.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033322.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033354.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033355.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033356.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033392.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033393.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP154\A0033394.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0033459.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0033460.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0033461.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034457.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034458.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034459.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034470.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034471.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034472.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034480.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034481.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034482.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034518.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034519.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034520.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034527.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034528.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034529.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034535.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0034556.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0035555.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0035556.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP156\A0035557.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035590.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035591.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035592.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035604.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035605.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035606.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035627.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035628.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035629.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035672.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035673.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035674.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035699.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035700.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035701.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035708.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP157\A0035709.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\System Volume Information\_restore{516D94BC-6438-4CB1-8592-4A568BE9BB87}\RP158\A0035757.EXE --> Eliminado, AutoRun.IZ

Sat Sep 01 00:16:35 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Claudia34 · Mensaje por **Claudia34** » 03 Sep 2007, 23:28

Y compleméntalo posteándonos el Log del HJT:

HJT: (HiJackThis)

¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

Opcional:

Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Y no te vendria mal mientras probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.

Mensaje por **msc hotline sat** » 04 Sep 2007, 06:39

Mas bien te faltan ficheros de sistema, que pueden haber sido borrados en los procesos manuales... convendria una REPARACION DE SISTEMA, pero ello solo te lo apunto, es independiente de postearnos el log del HJT:

[quote="para REPARAR WINDOWS, msc"]

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

saludos

ms, 4-09-2007

tafona · Mensaje por **tafona** » 05 Sep 2007, 16:49

Hola de nuevo ya consegui HijackThis, aquí está el report:

Logfile of HijackThis v1.99.1

Scan saved at 17:41:41, on 05/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Barra de herramientas de MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient

O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Program Files\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Firewall Client Connectivity Monitor.LNK = C:\Program Files\Microsoft Firewall Client\ISATRAY.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Program Files\MSN Toolbar Suite\es-es\msntabres.dll.mui/229?343ce762bf9142b9b5c115bce8e6846

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Program Files\MSN Toolbar Suite\es-es\msntabres.dll.mui/230?343ce762bf9142b9b5c115bce8e6846

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188596095796

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {E7F2A7C5-E0FA-48F7-9893-DF78DDF131F2} (MC3LibControl.TclControl) - http://www.jeppesen.com/wlcs/services/chart/plugins/win/mc3-1300.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{135C0554-1AC5-4A74-976E-6DD82C097113}: NameServer = 80.58.0.33,128.126.1.201

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Grcs y slds JJ

Mensaje por **msc hotline sat** » 05 Sep 2007, 17:18

Ya una vez eliminados los troyanos solo vemos en el registro que los servidores de DNS que tiene configurados, son algo especiales:

apuntan a 80.58.0.33,128.126.1.201

El primero es de Telefonica de Madrid pero el segundo es de USA , ???

80.58.0.33 ES Spain 29 Madrid Madrid 40.4000 -3.6833 Telefonica de Espana Telefonica de Espana

128.126.1.201 US United States MD Maryland Gaithersburg 20879 39.1682 -77.1645 Lockheed Martin Mission Systems Lockheed Martin Mission Systems

Está Vd conforme con ello ???

saludos

ms, 5-09-2007

Your computer is infected! Windows has detected spyware...

Your computer is infected! Windows has detected spyware...

Ficheros de muestra enviados

Windows infected.....

Windows has detected....