Posible virus (SOLUCIONADO)

jmfagudo · Mensaje por **jmfagudo** » 26 Oct 2007, 08:32

Cuano enciendo el ordenador me da el siguiente mensaje:

Windows - No hay disco

Excepcion Processng Message c0000013

Parameters 75b1bf9c 4 75b1bf9c 75b1bf9c

Mi antivirus detecta uno y dice:

Variant of BHO.mllmm

Pero no es capaz de limpiarlo.

Espero vuestra ayuda

Gracias

José Manuel

Mensaje por **msc hotline sat** » 26 Oct 2007, 09:54

Pues si ya lo detectas con el antivirus, desactiva la restauración de sistema, arranca en modo seguro y lánzalo de nuevo a ver si así lo puedes eliminar.

Antes envíanos el fichero donde lo detectes y lo analizaremos por si necesitas mas ayuda

saludos

ms, 26-10-2007

jmfagudo · Mensaje por **jmfagudo** » 29 Oct 2007, 08:34

He pasado varias veces el antivirus (WinAntivirus Pro2007) en modo seguro, pero me sigue apareciendo el mensaje de Windows NO HAY DISCO.

Un tema importante:En Inicio, Mi PC, Ver información del sistema, no tengo ninguna pestaña que sea Restauración el Sistema.

Espero vuestros comentarios

Gracias

Mensaje por **msc hotline sat** » 29 Oct 2007, 10:11

Pruebe arrancar en modo seguro con funciones de red y lance el AV ONLINE aconsejado

y nos informa del resultado, gracias

saludos
ms, 29-10-2007

nota: este winantivirpro2007 no es de lo mas aconsejable... Una vez solucionado el problema, si lo desea, instale cualquier otro, desde un ASV gratuito hasta cualquiera de pago (Mc>Afee, Norton, NOD32, etc), y cuando lo vaya a hacer, primero lance el ELISTARA que le eliminará restos del winantivir pro para que no le incordie. ms.

jmfagudo · Mensaje por **jmfagudo** » 29 Oct 2007, 17:48

Paso el resultado.

Espèro vuestros comentarios

Gracias

Scan Results: 114064 files scanned. 7 viruses were detected.

File Infection Status Path

mav_startupmon.exe Win32/SillyDl.CZP infected C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\

SCANKRNL.DLL Win95/SillyWR infected, no cure C:\Archivos de programa\WinAntiVirus Pro 2007\plugins\

Dc3.exe Win32/VMalum.UHG infected, no cure C:\RECYCLER\S-1-5-21-4012098934-2349023024-2316326855-1003\

btlknpoj.dll Win32/VMalum.BLXT infected, no cure C:\WINDOWS\system32\

honainst.dll Win32/VMalum.BLXT infected, no cure C:\WINDOWS\system32\

mllmm.dll Win32/Vundo!generic infected C:\WINDOWS\system32\

rghrvqhc.dll Win32/VMalum.BLWC infected, no cure C:\WINDOWS\system32\

Mensaje por **msc hotline sat** » 29 Oct 2007, 18:18

Lo que le ha detectado es justamente este winantivirpro 2007...

Pruebe el ELISTARA :

http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

SALUDOS

MS, 29-10-2007

jmfagudo · Mensaje por **jmfagudo** » 29 Oct 2007, 19:58

He pasado el Elistart y al finalizar meha dado este mensaje:

Sistema infectado por troyanola de Reparación para eliminarlo.

Os pego el Infosat

Mon Oct 29 19:15:06 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\__C002DB53.DAT --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "Salestart"=""C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\mav_startupmon.exe""

Entrada Eliminada [HKCU\...\Run] "wa7pcw"=""C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\wa7pcw.exe" -c"

Entrada Eliminada [HKLM\...\Run] "wa7pcw"=""C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\wa7pcw.exe" -c"

Eliminado Servicio, "DomainService"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2007"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 19:15:40 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\$NtServicePackUninstall$\APPWIZ.CPL --> Eliminado, DownLoader.VB.FT

C:\WINDOWS\system32\CCECSOUK.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\JEJUXMNK.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\KBBNTSMM.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\QYQRPBMD.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\WVTDYQTA.EXE --> Eliminado, FotoMoto

Nº Total de Directorios: 11853

Nº Total de Ficheros: 100291

Nº de Ficheros Analizados: 21898

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Mensaje por **lucl** » 29 Oct 2007, 20:02

Elistara te dice esto

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

sigue las indicaciones del link

viewtopic.php?f=5&t=18469

y esto también

Detectado AUTORUN.INF en la Unidad (D)
OPEN=Info.exe folder.htt 480 480
Si Desconoce la Aplicación, por favor envienosla

viewtopic.php?f=2&t=45334

saludos

jmfagudo · Mensaje por **jmfagudo** » 30 Oct 2007, 17:35

Despues de pasar el Elistart, me sigue dando el mensaje:

Sistema Infectado por Troyano AppInit

Puede ser necesario arrancar en consola de reparación para eliminarlo.

E fichero AURORUN.INF en el disco D, no lo encuentro. Este disco tiene un icono que es un candado, Recuperación del Sistema y nada mas.

Pego el fichero Infosat

Tue Oct 30 16:29:41 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\__C002DB53.DAT --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c002DB53.dat -> Acceso Denegado.

Desinstalado EliNotif.dll

Tue Oct 30 16:46:08 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\__C00BAE40.DAT --> Acceso Denegado.

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Oct 30 16:47:12 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\LWYXPLYC.EXE --> Eliminado, FotoMoto

Nº Total de Directorios: 11859

Nº Total de Ficheros: 100371

Nº de Ficheros Analizados: 21901

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Instalada Utilidad "ELINOTIF.DLL"

Mensaje por **msc hotline sat** » 30 Oct 2007, 17:40

Pues este

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c002DB53.dat

debes matarlo a mano, con el KILLBOX o arrancando en consola de recuperacion:

saludos

ms, 30-10-2007

jmfagudo · Mensaje por **jmfagudo** » 31 Oct 2007, 08:23

Ya he utilizado el Killbox para matar el .dat

Me sigue saliendo, al arrancar, el mensaje de Windows de No hay disco. Exceopcion Processing.... que os comente.

Pego el Infosat

Tue Oct 30 19:47:03 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Oct 30 19:47:11 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 11862

Nº Total de Ficheros: 100682

Nº de Ficheros Analizados: 21903

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 31 Oct 2007, 09:16

Pues posteanos log del HJT, ya que puedfes tener otros complementarios a este, como se ve en:

viewtopic.php?f=13&t=21996

que tambien tenía un DAT problematico, y promete ser algun malware con nombre mutante, y que va acòmpañado de otros que analizaremos cuando los veamos y te los pidamos

para REPARAR WINDOWS, msc escribió:
Sugiero proceder a REPARAR windows, arrancando con el CD de instalación y primero seleccionar instalar, y tras detectar la partición existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos

ms, 31-10-2007

jmfagudo · Mensaje por **jmfagudo** » 31 Oct 2007, 17:39

Pego el log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:37:46, on 31/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\lg_fwupdate\fwupdate.exe

C:\Archivos de programa\SystemDoctor\main.exe

C:\Archivos de programa\USS\USS.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\ugsnxcxv.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\Propietario\Escritorio\HiJackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://es.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [AAWTray] C:\Archivos de programa\Lavasoft\Ad-Aware 2007\AAWTray.exe

O4 - HKLM\..\Run: [igbn] C:\WINDOWS\system32\igbn.exe

O4 - HKLM\..\Run: [SystemDoctor] C:\Archivos de programa\SystemDoctor\main.exe /min

O4 - HKLM\..\Run: [sdr6cw] C:\Archivos de programa\Archivos comunes\SystemDoctor\sdr6cw.exe -c

O4 - HKLM\..\Run: [USS] "C:\Archivos de programa\USS\USS.exe"

O4 - HKLM\..\Run: [mav_startupmon] "C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\mav_startupmon.exe"c

O4 - HKLM\..\Run: [rtasks] C:\Archivos de programa\WinAntiVirus Pro 2007\rtasks.exe

O4 - HKLM\..\Run: [489dfe12] rundll32.exe "C:\WINDOWS\system32\qxtrqmjs.dll",b

O4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\system32\serbw.exe

O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\system32\formatsys.exe

O4 - HKLM\..\RunServices: [serpe] C:\WINDOWS\system32\formatsys.exe

O4 - HKLM\..\RunServices: [igbn] C:\WINDOWS\system32\igbn.exe

O4 - HKLM\..\RunServices: [kkazcdqacwch] C:\WINDOWS\system32\kkazcdqacwch.exe

O4 - HKLM\..\RunServices: [xbjbti] C:\WINDOWS\system32\xbjbti.exe

O4 - HKLM\..\RunServices: [bnumkmd] C:\WINDOWS\system32\bnumkmd.exe

O4 - HKLM\..\RunServices: [cwl] C:\WINDOWS\system32\cwl.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKLM\..\Policies\Explorer\Run: [avnort] C:\WINDOWS\system32\serbw.exe

O4 - HKLM\..\Policies\Explorer\Run: [ltwob] C:\WINDOWS\system32\formatsys.exe

O4 - HKLM\..\Policies\Explorer\Run: [serpe] C:\WINDOWS\system32\formatsys.exe

O4 - HKCU\..\Policies\Explorer\Run: [avnort] C:\WINDOWS\system32\serbw.exe

O4 - HKCU\..\Policies\Explorer\Run: [ltwob] C:\WINDOWS\system32\formatsys.exe

O4 - HKCU\..\Policies\Explorer\Run: [serpe] C:\WINDOWS\system32\formatsys.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - .DEFAULT User Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O12 - Plugin for .csm: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .csml: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cub: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cube: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .dx: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .emb: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .embl: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .gau: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .jdx: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mol: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mop: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .pdb: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .rxn: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .scr: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .skc: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .spt: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .tgf: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .xyz: C:\Archivos de programa\Internet Explorer\Plugins\npchime.dll

O14 - IERESET.INF: START_PAGE_URL=http://es.yahoo.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://chufita7.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://manu1590.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4400/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{14B03143-F469-4CF1-8388-68C3756016DC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{14B03143-F469-4CF1-8388-68C3756016DC}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{14B03143-F469-4CF1-8388-68C3756016DC}: NameServer = 194.179.1.100,194.179.1.101

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00CD1C4.dat

O23 - Service: DomainService - - C:\WINDOWS\system32\ugsnxcxv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Print Spooler Service (ps68euoliubnse6a) - Unknown owner - C:\WINDOWS\system32\ivfikqincfw.exe (file missing)

O24 - Desktop Component 0: (no name) - http://www.martin-raget.com/imageserver/cache/E-01212-05-120.jpg

O24 - Desktop Component 1: (no name) - http://storage.msn.com/x1pxOYwqu4SjF7-NJNgGsDXv4VWwtosFN9EzYoWkDODs2zUql3ad0gR_4udemFLt2xkWNMTnqwguiCfVPPndcGagwK2UbE5qS9uJQYpPf6SIFF0UFmi5oY6_KULtxdQB5daykCJLlZBnzUEFPZ60QhBPw

O24 - Desktop Component 2: (no name) - http://storage.msn.com/x1pxOYwqu4SjF7-NJNgGsDXv7u0QvUBYGEYaIqxSME1ZOwdNr4KvphGBdU41qgah-HhNhUl8Gj5jdzcops1IH-wwdBabmwxhpcVqT-byHYobfWmfwGZVJqvWg

--

End of file - 11669 bytes

Mensaje por **msc hotline sat** » 31 Oct 2007, 17:52

Tienes unos cuantos virus y troyanos, de entre estos ficheros que indicamos:

Evianoslos para analizar

C:\Archivos de programa\Archivos comunes\SystemDoctor\sdr6cw.exe
C:\Archivos de programa\USS\USS.exe
C:\Archivos de programa\Archivos comunes\WinAntiVirus Pro 2007\mav_startupmon.exe
C:\Archivos de programa\WinAntiVirus Pro 2007\rtasks.exe
C:\WINDOWS\system32\qxtrqmjs.dll
C:\WINDOWS\system32\serbw.exe
C:\WINDOWS\system32\formatsys.exe
C:\WINDOWS\system32\igbn.exe
C:\WINDOWS\system32\kkazcdqacwch.exe
C:\WINDOWS\system32\xbjbti.exe
C:\WINDOWS\system32\bnumkmd.exe
C:\WINDOWS\system32\__c00CD1C4.dat

saludos

ms, 31-10-2007

jmfagudo · Mensaje por **jmfagudo** » 31 Oct 2007, 18:38

Envio los ficheros:

USS.exe

qxtrqmjs.dll

-c00CD1C4.dat

Los demas no los he encontrado, ¿borro las claves?

Gracias

Mensaje por **msc hotline sat** » 31 Oct 2007, 18:44

No, hasta que no los hatamos analizado, pues no sabemos si son malos, solo sospechosos...

Si quiere puede renombrar la extension de los ficheros a .VIR, asi no se pondrán en marcha tras reiniciar, y si resultan ser inocentes, se vuelven a renombrar y listos.

saludos

ms, 31-10-2007

jmfagudo · Mensaje por **jmfagudo** » 31 Oct 2007, 19:40

Pego el fichero despues de pasar el Elistart:

Wed Oct 31 19:09:44 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\__C00CD1C4.DAT --> Acceso Denegado.

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Wed Oct 31 19:10:40 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Propietario\Escritorio\virus\__C00CD1C4.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\CJAHGDDP.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\DCTHLBVB.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\EGFGDIFI.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\EMAVSUID.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\JPHTNKHO.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\LJMOQFKL.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\OYMRTUMB.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\PJREFUGK.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\RJFTXNCT.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\SAWWOBLO.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\SQNAFAHP.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\SVTWFJBF.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\UGSNXCXV.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\VIOQNLBH.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\XPLYREIW.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C0015C9C.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C002BF8A.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C0055D91.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C00781C0.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C00BAE40.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\__C00CD1C4.DAT --> Acceso Denegado, Morphine(notify)

Nº Total de Directorios: 11859

Nº Total de Ficheros: 100399

Nº de Ficheros Analizados: 21909

Nº de Ficheros Infectados: 22

Nº de Ficheros Limpiados: 21

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c00CD1C4.dat -> Acceso Denegado.

Desinstalado EliNotif.dll

Mensaje por **lucl** » 31 Oct 2007, 22:06

aunque te ha quitado mucho, creo que aun queda pendiente algo por eliminar, pasa elistara arrancando el pc en MODO SEGURO y veamos si consigue quitar el ultimo

:\WINDOWS\system32\__C00CD1C4.DAT --> Acceso Denegado, Morphine(notify)

saludos

Mensaje por **msc hotline sat** » 01 Nov 2007, 10:17

Este Morphine se carga en el APPINIT y se pone en uso antes que nada ni nadie, incluso que el ELINOTIF que ya metemos por ello en el WinLOGON NOTIFY !

Si no lo logras, mira de eliminarlo con el KILLBOX:

[url=http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp]~~[b]~~killbox[/b][/url] para eliminar proceso activo de un fichero y luego eliminar el fichero

Y SINO, LO DECISIVO, ARRANCAR EN CONSOLA DE RECUPERACION, CON EL CD DE INSTALACION, Y ELIMINAR EL FICHERO.

saludos

ms, 1-11-2007

jmfagudo · Mensaje por **jmfagudo** » 02 Nov 2007, 16:44

Os pego el log, despues de pasar el Elistart en modo seguro:

Fri Nov 02 16:17:49 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\__C0031094.DAT --> Acceso Denegado.

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Nov 02 16:18:50 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\__C00CD1C4.DAT --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\CWRCESHU.DLL --> Eliminado, Morphine(notify)

C:\WINDOWS\system32\NERYHHMN.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\__C0031094.DAT --> Acceso Denegado, Morphine(notify)

Nº Total de Directorios: 11862

Nº Total de Ficheros: 100407

Nº de Ficheros Analizados: 21894

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 3

Fri Nov 02 16:32:19 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 188

Nº Total de Ficheros: 9179

Nº de Ficheros Analizados: 2292

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c0031094.dat -> Acceso Denegado.

Desinstalado EliNotif.dll

Mensaje por **lucl** » 02 Nov 2007, 16:47

[quote="msc hotline sat"]Este Morphine se carga en el APPINIT y se pone en uso antes que nada ni nadie, incluso que el ELINOTIF que ya metemos por ello en el WinLOGON NOTIFY !

Si no lo logras, mira de eliminarlo con el KILLBOX:

[url=http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp]~~[b]~~killbox[/b][/url] para eliminar proceso activo de un fichero y luego eliminar el fichero

Y SINO, LO DECISIVO, ARRANCAR EN CONSOLA DE RECUPERACION, CON EL CD DE INSTALACION, Y ELIMINAR EL FICHERO.

saludos

ms, 1-11-2007[/quote]

BIen, pues intentalo como te sugiere msc a ver si asi lo quitas, y nos comentas resultado, saludos

jmfagudo · Mensaje por **jmfagudo** » 02 Nov 2007, 23:16

He utilizado el Killbox, pego el fichero

Fri Nov 02 20:03:37 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=Info.exe folder.htt 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Nov 02 20:03:56 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\__C0031094.DAT --> Eliminado, Morphine(notify)

Nº Total de Directorios: 11913

Nº Total de Ficheros: 101648

Nº de Ficheros Analizados: 22230

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Fri Nov 02 20:17:11 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 189

Nº Total de Ficheros: 9181

Nº de Ficheros Analizados: 2292

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 03 Nov 2007, 08:04

Bueno, pues a pesar de que el último informe del ELISTARA decia haber poiddo eliminarlo:

[quote]
Fri Nov 02 20:03:56 2007

EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\__C0031094.DAT --> Eliminado, Morphine(notify) [/quote]

Si ademas ha pasado el KillBox, no sé quien ha sido el asesino, pero parece estar muerto y rematado :wink:

Ya con lo indicado damos por solucionado el Tema y procedemos a cerrarlo

Si n os necesita de nuevo, ya sabe donde estamos

saludos

ms, 3-11-2007

Mensaje por **msc hotline sat** » 05 Nov 2007, 17:11

Recibido nuevo fichero para analizar, porcedemos a implementar su control y eliminacion en el ELISTARA de hoy 14.96

saludos

ms, 5-11-2007