Spam cada vez que entro en una página (SOLUCIONADO)

mana · Mensaje por **mana** » 27 Oct 2007, 11:40

Hola de nuevo, vuelvo a necesitar vuestra ayuda por un problema que tengo últimamente... El tema es que cada vez que me meto en alguna página, se me abre paralelamente otra ventana que me lleva a paginas publicitarias, casinos o adultos.

Me adelanto y os pego el Logfile que he sacado hoy:

Gracias de antemano.

Logfile of HijackThis v1.99.1

Scan saved at 11:35:51, on 27/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\ps2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\sdauwrbu.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [381e09e3] rundll32.exe "C:\WINDOWS\system32\bwggeape.dll",b

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c006E786.dat

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: DomainService - - C:\WINDOWS\system32\sdauwrbu.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Claudia34 · Mensaje por **Claudia34** » 27 Oct 2007, 12:46

Pues mientras descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Y puedes bajarte tambien el elinotfi.ll y ponerlo en una misma carpeta con el elistara, cuando los tengas juntos solo ejecuta elistara y reinicia el pc, nos pegas el log que te deja en C infosat.txt

http://www.zonavirus.com/descargas/elinotif.asp

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

Opcional:

Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Y no te vendria mal mientras probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.

Mensaje por **msc hotline sat** » 27 Oct 2007, 12:54

Pues se ven estos ficheros sospechosos, si tras probar las utilidades indicadas por Claudia, todavñia estan, envianoslos para analizar:

C:\WINDOWS\system32\sdauwrbu.exe

C:\WINDOWS\system32\bwggeape.dll

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y este podria ser un PWS.NTOS. Veamos si lo detectará el ELISTARA:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

Recuerde postearnos el contenido de C:\infosat.txt tras probar el ELISTARA ...

saludos

ms, 27-10-2007

mana · Mensaje por **mana** » 27 Oct 2007, 14:43

Ya he pasado el Elistara, este es el resultado:

Sat Oct 27 14:19:32 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCXMNTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\SYSTEM32\__C006E786.DAT --> Acceso Denegado.

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Eliminado Servicio, "DomainService"

Eliminada Carpeta "%WinSys%\Wsnpoem"

Eliminada Carpeta "%Favoritos%\cracks"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Oct 27 14:23:13 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\hp\drivers\audio_realtek\ALCXMNTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\SDAUWRBU.EXE --> Acceso Denegado, FotoMoto

Nº Total de Directorios: 6263

Nº Total de Ficheros: 68952

Nº de Ficheros Analizados: 16080

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c006E786.dat -> Acceso Denegado.

Desinstalado EliNotif.dll

Sat Oct 27 14:34:34 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sat Oct 27 14:35:11 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SDAUWRBU.EXE.VIR --> Eliminado, FotoMoto

Nº Total de Directorios: 6262

Nº Total de Ficheros: 68950

Nº de Ficheros Analizados: 16078

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Voy a pasar el Elitrip...

Saludos.

mana · Mensaje por **mana** » 27 Oct 2007, 14:48

El Eitrip:

Sat Oct 27 14:45:08 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sat Oct 27 14:45:10 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6276

Nº Total de Ficheros: 69091

Nº de Ficheros Analizados: 13723

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Cuando me he metido en esta página, me ha seguido apareciendo la famosa pantalla de publicidad...

Gracias.

mana · Mensaje por **mana** » 27 Oct 2007, 14:51

Y aquí el último Hijack:

Logfile of HijackThis v1.99.1

Scan saved at 14:50:34, on 27/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ps2.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [381e09e3] rundll32.exe "C:\WINDOWS\system32\bwggeape.dll",b

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

mana · Mensaje por **mana** » 28 Oct 2007, 11:17

Despues de probar varias cosas, no consigo deshacerme de las dichosas páginas, es más, me da la sensación que se han incrementado. Ahora me salen los típicos avisos de que si el ordenador está en riesgo, que me descargue antispams, etc.

Os dejo el último Log del Hijack que he sacado:

Logfile of HijackThis v1.99.1

Scan saved at 11:11:38, on 28/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\xpvqlkeb.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\ps2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\eMule\emule.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [381e09e3] rundll32.exe "C:\WINDOWS\system32\jfegkbsc.dll",b

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00B4101.dat

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: DomainService - - C:\WINDOWS\system32\xpvqlkeb.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mensaje por **lucl** » 28 Oct 2007, 11:54

Sigue la ruta de estos archivos y subelos a virustotal para su analisis y nos comentas el resultado

C:\WINDOWS\system32\~~[b]~~xpvqlkeb.exe [/b]

C:\WINDOWS\system32\~~[b]~~jfegkbsc.dll",[/b]b

http://www.virustotal.com

y envianoslo como se indica en el link que te dejo para su analisis, saludos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

mana · Mensaje por **mana** » 28 Oct 2007, 18:17

Los resultados de Virustotal:

El fichero xpvqlkeb.exe

AhnLab-V3 2007.10.27.0 2007.10.26 Win-Trojan/Agent.75264.Y

AntiVir 7.6.0.30 2007.10.26 TR/Fotomoto.E

Authentium 4.93.8 2007.10.26 W32/Trojan.BXOI

Avast 4.7.1074.0 2007.10.28 Win32:Agent-LAP

AVG 7.5.0.503 2007.10.28 Adware Generic2.ONQ

BitDefender 7.2 2007.10.28 Trojan.Fotomoto.E

CAT-QuickHeal 9.00 2007.10.26 Trojan.Agent.bck

ClamAV 0.91.2 2007.10.28 Trojan.Agent-7570

DrWeb 4.44.0.09170 2007.10.28 Trojan.EzulaAd

eSafe 7.0.15.0 2007.10.28 Suspicious File

eTrust-Vet 31.2.5244 2007.10.26 -

Ewido 4.0 2007.10.28 -

FileAdvisor 1 2007.10.28 -

Fortinet 3.11.0.0 2007.10.19 -

F-Prot 4.3.2.48 2007.10.26 W32/Trojan.CGOY

F-Secure 6.70.13030.0 2007.10.28 Trojan.Win32.Agent.bck

Ikarus T3.1.1.12 2007.10.27 Win32.Rigel.6468

Kaspersky 7.0.0.125 2007.10.28 Trojan.Win32.Agent.bck

McAfee 5150 2007.10.26 Adclicker-FK

Microsoft 1.2908 2007.10.28 Trojan:Win32/Agent.AGA

NOD32v2 2621 2007.10.28 Win32/Agent.BCK

Norman 5.80.02 2007.10.26 W32/Vundo.dam

Panda 9.0.0.4 2007.10.28 Trj/Downloader.OZB

Prevx1 V2 2007.10.28 ADWARE.FOTOMOTO.F

Rising 19.46.61.00 2007.10.28 Trojan.Win32.Agent.yyw

Sophos 4.23.0 2007.10.28 Troj/Bckdr-QJL

Sunbelt 2.2.907.0 2007.10.27 VIPRE.Suspicious

Symantec 10 2007.10.28 Downloader

TheHacker 6.2.9.110 2007.10.27 Trojan/Agent.bck

VBA32 3.12.2.4 2007.10.28 Trojan.Win32.Agent.bck

VirusBuster 4.3.26:9 2007.10.27 Adware.Vundo.P.Gen

Webwasher-Gateway 6.6.1 2007.10.28 Trojan.Fotomoto.E

Información adicional

Tama?rchivo: 75328 bytes

MD5: 900e6971f93e04ebacfcc18f750cc195

SHA1: e59b861ce4ad65c29f28683e98bf93b52f8198f9

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=096D61FF4077F7A7261201239A5EAD00F287EB85

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

El jfegkbsc.dll”,b

Análisis del archivo jfegkbsc.dll recibido el 28.10.2007 18:02:57 (CET)

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.10.27.0 2007.10.26 -

AntiVir 7.6.0.30 2007.10.26 -

Authentium 4.93.8 2007.10.26 -

Avast 4.7.1074.0 2007.10.28 -

AVG 7.5.0.503 2007.10.28 -

BitDefender 7.2 2007.10.28 -

CAT-QuickHeal 9.00 2007.10.26 -

ClamAV 0.91.2 2007.10.28 -

DrWeb 4.44.0.09170 2007.10.28 -

eSafe 7.0.15.0 2007.10.28 -

eTrust-Vet 31.2.5244 2007.10.26 -

Ewido 4.0 2007.10.28 -

FileAdvisor 1 2007.10.28 -

Fortinet 3.11.0.0 2007.10.19 -

F-Prot 4.3.2.48 2007.10.26 -

F-Secure 6.70.13030.0 2007.10.28 -

Ikarus T3.1.1.12 2007.10.27 -

Kaspersky 7.0.0.125 2007.10.28 -

McAfee 5150 2007.10.26 -

Microsoft 1.2908 2007.10.28 -

NOD32v2 2621 2007.10.28 -

Norman 5.80.02 2007.10.26 -

Panda 9.0.0.4 2007.10.28 Suspicious file

Rising 19.46.61.00 2007.10.28 -

Sophos 4.23.0 2007.10.28 -

Sunbelt 2.2.907.0 2007.10.27 -

Symantec 10 2007.10.28 -

TheHacker 6.2.9.110 2007.10.27 -

VBA32 3.12.2.4 2007.10.28 -

VirusBuster 4.3.26:9 2007.10.27 -

Webwasher-Gateway 6.6.1 2007.10.28 Win32.Malware.gen (suspicious)

Información adicional

Tama?rchivo: 83520 bytes

MD5: 461a73e3a78b2b0be2d5905835766955

SHA1: 6280da1ba221256ed4225071f547749db436085b

Ya os he enviado los dos archivos por e-mail. Ahora es mejor que espere o que intente eliminar las dos rutas mediante el Hikackthis o otro programa?

Gracias.

Mensaje por **lucl** » 28 Oct 2007, 19:54

Lo primero que debes hacer es renombrar esos archivos a .VIR , boton derecho del raton y cambiar nombre para que no se pongan en marcha la proxima vez que inicies el pc. Con eso aguanta tranquilo hasta mañana.

En cuanto a eliminar las claves del hijackthis no es primordial aun, mañana te analizaran los envios y estate atento al post y te diran algo, saludos

mana · Mensaje por **mana** » 28 Oct 2007, 20:31

lucl, me imagino que es normal que me de error al iniciar windows desde que he renombredo los dos ficheros (me dice que no los encuentra).

Por otra parte, aún así, me siguen apareciendo las dichosas paginas de spam.

Bueno, como dices, esperaré a que analiceis los ficheros y mañana será otro día...

Gracias otra vez.

Mensaje por **lucl** » 28 Oct 2007, 21:09

Si, eso es normal, pero espera a mañana y veamos lo que encuentran en los archivos que enviaste, saludos

Mensaje por **msc hotline sat** » 29 Oct 2007, 06:20

Está claro que el primero es otra variante del FOTOMOTO que ya eliminaste:

C:\WINDOWS\system32\SDAUWRBU.EXE.VIR --> Eliminado, FotoMoto

segun indica VirusTotal:

El fichero xpvqlkeb.exe

AhnLab-V3 2007.10.27.0 2007.10.26 Win-Trojan/Agent.75264.Y

AntiVir 7.6.0.30 2007.10.26 TR/~~[b]~~[i]Fotomoto.E[/i][/b]

...

pero el segundo no parece detectarlo nadie todavía...

Los analizaremos esta mañana, cuando entremos a trabajar en SATINFO

saludos

ms, 29-10-2007

Mensaje por **msc hotline sat** » 29 Oct 2007, 10:54

Pues curiosamente con el analisis del primero vemos que ya lo controlamos con el ELISTARA actual 14.92, el que probaste el sabado y con el que eliminate el otro, pero no este ???

Mira de arrancar en modo seguro y lanzar de nuevo el ultimo ELISTARA, a ver si es que se esconde si está en memoria ...

y nos comentas el resultado, gracias

Aparte el otro, a pesar de que casi nadie lo detectaba y los que lo hacian decia solo sospechoso, ha resultado ser una nueva variante del VUNDO, que estará controlado con la version que hacemos hoy, 14.93

A partir de las 19 horas GMT estará disponible en esta web para pruebas de evaluaicon en el foro de zonavirus, pero mientras puedes renombrar la DLL a .VIR y tras reiniciar ya no se podrá poner en marcha:

~~[b]~~[i]jfegkbsc.dll[/i][/b]

igualmente puedes hacer lo mismo con el del fotomoto, si no lo detecta el ELISTARA como deberia serm renombrando su extension .EXE a .VIR

~~[b]~~[i]xpvqlkeb.exe [/i][/b]

Ya nos contarás

saludos

ms, 29-10-2007

mana · Mensaje por **mana** » 29 Oct 2007, 11:04

Una pregunta "tonta", para pasar el Elistara para el primer bicho, ¿vuelvo a poner la extensión como estaba o la dejo con .vir?

Gracias

Mensaje por **msc hotline sat** » 29 Oct 2007, 12:14

No hace falta, nuestras utilidades controlan y analizan los .VIR, pues es una extension que usamos normalmente para "aparcar" los ficheros sin eliminarlos, hasta que procede.

saludos

ms, 29.10.2007

mana · Mensaje por **mana** » 29 Oct 2007, 12:23

Creo que no hace falta cambiar nuevamente la extensión de los archivos .vir (lo he probado y parece que sirve).

He pasado el Elistara y el Elitrip en Modo Seguro y ha detectado dos FotoMoto que parece que ha eliminado. Digo parece porque no me ha salido ninguna pantalla de publicidad el rato que estoy escribiendo esto.

Creo que da problemas en un archivo .dat, os adjunto resultados de hoy:

Mon Oct 29 11:16:55 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\__C005EFE6.DAT --> Acceso Denegado.

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 11:17:13 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\FWUVGMMW.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\XPVQLKEB.VIR.EXE --> Eliminado, FotoMoto

Nº Total de Directorios: 6263

Nº Total de Ficheros: 71179

Nº de Ficheros Analizados: 16564

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.10.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c005EFE6.dat -> Acceso Denegado.

Desinstalado EliNotif.dll

Mon Oct 29 11:36:49 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 11:37:14 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6257

Nº Total de Ficheros: 68949

Nº de Ficheros Analizados: 16080

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Oct 29 11:45:54 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 11:46:01 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6261

Nº Total de Ficheros: 68960

Nº de Ficheros Analizados: 16080

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Oct 29 11:59:39 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Oct 29 11:59:40 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6261

Nº Total de Ficheros: 68960

Nº de Ficheros Analizados: 13687

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Por otra parte, os adjunto resultado del Hijack:

Logfile of HijackThis v1.99.1

Scan saved at 12:22:12, on 29/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\ps2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [381e09e3] rundll32.exe "C:\WINDOWS\system32\gdxhkbkd.dll",b

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Gracias.

Pues mala suerte, me ha salido otra pagina de publicidad...

Mensaje por **msc hotline sat** » 29 Oct 2007, 12:44

Pues conforme indicabamos, ya controlamos esta variante del FotoMoto...

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\FWUVGMMW.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\XPVQLKEB.VIR.EXE --> Eliminado, FotoMoto

Y elimine con el KillBox el fichero que se resiste:

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c005EFE6.dat -> Acceso Denegado.

Mensaje por **msc hotline sat** » 29 Oct 2007, 12:46

Pues conforme indicabamos, ya controlamos esta variante del FotoMoto...

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\FWUVGMMW.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\XPVQLKEB.VIR.EXE --> Eliminado, FotoMoto

Y elimine con el KillBox el fichero que se resiste:

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\__c005EFE6.dat -> Acceso Denegado.

y esta tarde pruebe la nueva version 13.93 del ELISTARA para el otro.

saludos

ms, 29-10-2007

mana · Mensaje por **mana** » 29 Oct 2007, 21:28

Ya he pasado (2 veces) la nueva versión del Elistara y estos son los resultados:

Mon Oct 29 20:59:21 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 20:59:29 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\JFEGKBSC.DLL.VIR --> Eliminado, Vundo5

C:\WINDOWS\system32\TUVUSQR.DLL --> Eliminado, DownLoader.ConHook(notify)

Nº Total de Directorios: 6257

Nº Total de Ficheros: 68945

Nº de Ficheros Analizados: 16082

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Mon Oct 29 21:09:24 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 21:09:27 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6257

Nº Total de Ficheros: 68942

Nº de Ficheros Analizados: 16080

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

No quiero precipitarme y que me pase como esta mañana, pero por el momento no me han salido las molestas paginas.

Le daré un tiempo y os contaré.

Hago algo más??¿os pego el Hijack actualizado?

Gracias

mana · Mensaje por **mana** » 29 Oct 2007, 21:57

Es una lástima pero me siguen saliendo paginas de publicidad, os dejo el ultimo log del HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 21:56:09, on 29/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\ps2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [381e09e3] rundll32.exe "C:\WINDOWS\system32\gdxhkbkd.dll",b

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Saludos

mana · Mensaje por **mana** » 29 Oct 2007, 22:38

Novedad!!!, no se me había ocurrido pasar el Elistara por la unidad D: y me ha encontrado más ficheros conflictivos y parece que los ha eliminado, os pego el info:

Mon Oct 29 22:10:16 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 22:10:26 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 22:10:30 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6255

Nº Total de Ficheros: 68945

Nº de Ficheros Analizados: 16080

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Oct 29 22:15:11 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 22:15:17 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\I386\Drv\APP26417\src\ALCXMNTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 478

Nº Total de Ficheros: 12391

Nº de Ficheros Analizados: 3380

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mon Oct 29 22:16:12 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Mon Oct 29 22:16:17 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 478

Nº Total de Ficheros: 12390

Nº de Ficheros Analizados: 3379

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Oct 29 22:16:22 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 478

Nº Total de Ficheros: 12390

Nº de Ficheros Analizados: 3379

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Oct 29 22:16:59 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Oct 29 22:17:03 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\I386\Apps\APP22816\src\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

D:\I386\Apps\APP07827\src\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

Nº Total de Directorios: 478

Nº Total de Ficheros: 12390

Nº de Ficheros Analizados: 3228

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Mon Oct 29 22:17:13 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 478

Nº Total de Ficheros: 12388

Nº de Ficheros Analizados: 3226

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Oct 29 22:17:28 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Oct 29 22:17:30 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6256

Nº Total de Ficheros: 68948

Nº de Ficheros Analizados: 13687

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Oct 29 22:24:21 2007

EliTriIP v4.05 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Oct 29 22:24:25 2007

EliTriIP v4.05 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 478

Nº Total de Ficheros: 12388

Nº de Ficheros Analizados: 3226

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sigo probando cosas...

Saludos

Mensaje por **msc hotline sat** » 30 Oct 2007, 05:38

Los realmente importantes fueron:

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\JFEGKBSC.DLL.VIR --> Eliminado, Vundo5

C:\WINDOWS\system32\TUVUSQR.DLL --> Eliminado, DownLoader.ConHook(notify)

Pero si dices que volvió la publicidad... igual queda algo mas.

Paso a analizar el log actual del HJT

Al respecto vemos este fichero sospechoso:

C:\WINDOWS\system32\gdxhkbkd.dll

envienoslo para analizar y le informaremos

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 30-10-2007

mana · Mensaje por **mana** » 30 Oct 2007, 19:56

Es curioso, pero no me aparece el fichero que me pide, es más, no aparece en el ultimo log:

Logfile of HijackThis v1.99.1

Scan saved at 19:53:05, on 30/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\ps2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\evboyvkw.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [381e09e3] rundll32.exe "C:\WINDOWS\system32\ohqhrugl.dll",b

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c007D364.dat

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: DomainService - - C:\WINDOWS\system32\evboyvkw.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Saludos.

Mensaje por **msc hotline sat** » 30 Oct 2007, 20:08

Cierto, pero ahora aparecen estos otros, envienos muestra para analizar

C:\WINDOWS\system32\evboyvkw.exe

C:\WINDOWS\system32\ohqhrugl.dll

C:\WINDOWS\system32\__c007D364.dat

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 30-10-2007

mana · Mensaje por **mana** » 30 Oct 2007, 20:37

Ya os he enviado los ficheros solicitados. He cambiado extensiones a dos de ellos, pero con el .dat no ha habido manera (me dice que está siendo usado por otra persona o programa). Lo voy a probar en modo seguro y me imagino que así podre renombrarlo.

Me siguen apareciendo paginas y me temo que cada vez crean ficheros nuevos. Como en el caso de los vampiros, habrá que matar al jefe para que desaparezcan los demas...jeje.

Gracias.

Mensaje por **msc hotline sat** » 31 Oct 2007, 06:59

Sí , este .DAT promete ...

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c007D364.dat

Ademas se lanza desde APPinit, que arranca incluso antes que el WinLogon Notify y por supuesto incluido en modo seguro...

Pues si no has podido renombrarlo, arranca en consola de recuperacion, con el CD de instalacion y desde DOS lo renombras con un REN, pero bueno, como que dices haber enviado las muestras, trataremos enseguida de analizarlas y pasar a controlarlas hoy mismo, de lo cual informaremos

saludos

ms, 31-10-2007

Mensaje por **msc hotline sat** » 31 Oct 2007, 12:10

Pues una muestra era de un FOTOMOTO ya controlado con el actual ELISTARA 14.94

Otro era un nuevo VUNDO 5 que pasamos a controlar con la nueva version de hoy 14.95 del ELISTARA

y el famoso __c007D364.dat es una variante de otros __c00xxxxx.dat, que pasamos a añadir a la familia MORPHINE (NOTIFY) , pero posiblemente no podremos borrarlo facilmente, si persiste tras el ELISTARA, eliminalo con el KILLBOX:

http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp

saludos

ms, 31-10-2007

mana · Mensaje por **mana** » 31 Oct 2007, 13:03

Pues si es así, esperaré a que salga hoy el Elistara 14.95 (me imagino que como siempre a las 19:00 h). Tras ello, os informaré de los resultados.

Gracias

Mensaje por **msc hotline sat** » 31 Oct 2007, 13:12

Si, vamos añadiendo rutinas hasta última hora y luego compilamos, lo probamos y lo subimos a esta hora, y antes si podemos...

Ya nos contarás

saludos

ms, 31-10-2007