podeis decirme si tengo algo? (SOLUCIONADO)

pit23 · Mensaje por **pit23** » 30 Oct 2007, 10:47

aqui osdejo mi log, creo que mi ordenador va muy lento de repente le he pasado todo nod kav elistar elitrip adware y no me saca nada

Logfile of HijackThis v1.99.1

Scan saved at 10:43:52, on 30/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\vsnpstd.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\Installer\WINXP\GNConfig.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\bea\Escritorio\carpetas de edu\virus\HT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

O1 - Hosts: <html><head>

O1 - Hosts: </head><body>

O1 - Hosts: <p>The requested URL /News/cmbrosji1/Host16.css was not found on this server.</p>

O1 - Hosts: <hr>

O1 - Hosts: <address>Apache/2.0.54 (Unix) DAV/2 PHP/4.3.11 Server at http://www.20mbweb.com Port 80</address>

O1 - Hosts: </body></html>

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [KEWelcomeReBoot] E:\welcome.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\System32\hldrrr.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [Win32] fcmedx.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [CryptoForge] "C:\Archivos de programa\CryptoForge\CFFiles.exe" "hide"

O4 - HKCU\..\Run: [Tok-Cirrhatus-1629] "C:\Documents and Settings\bea\Configuración local\Datos de programa\br4281on.exe"

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\System32\hldrrr.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: GN-WIKG Utility.lnk = C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\Installer\WINXP\GNConfig.exe

O4 - Global Startup: headcall.lnk = E:\GoJoin_Voip\headcall\headcall.exe

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143936916109

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-514232ec889cf491.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,916,0

O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2A62F90D-A9E2-4712-93EE-67D6AE3D69D0}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: IntelWireless - C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: System Restore Scheduling Service (srsvc) - Unknown owner - C:\WINDOWS\system32\srsvc.exe (file missing)

O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.exe (file missing)

gracias

Mensaje por **msc hotline sat** » 30 Oct 2007, 11:17

Ante todo tienes un Bagle en C:\WINDOWS\System32\hldrrr.exe

Prueba el ELIBAGLA

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Si no lo detectara por tratarse de nueva variante, envianos dichos fichero para analizar

Despues elimina estas claves:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts: The requested URL /News/cmbrosji1/Host16.css was not found on this server.

O1 - Hosts:

O1 - Hosts: Apache/2.0.54 (Unix) DAV/2 PHP/4.3.11 Server at http://www.20mbweb.com Port 80

O1 - Hosts:

O4 - Global Startup: Iniciar guiños Messenger.lnk = ?

O23 - Service: System Restore Scheduling Service (srsvc) - Unknown owner - C:\WINDOWS\system32\srsvc.exe (file missing)

O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.exe (file missing)

y envianos tambien este otros ficheros para analizar:

E:\welcome.exe

fcmedx.exe (posiblemente oculto, buscalo con Inicio -> Buscar -> En todos los ficheros y carpetas)

C:\Documents and Settings\bea\Configuración local\Datos de programa\br4281on.exe

E:\GoJoin_Voip\headcall\headcall.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 30-10-2007

pit23 · Mensaje por **pit23** » 30 Oct 2007, 12:05

los archivos que me dices no los encuentro, voy a arrancar en modo recuperacion y acambiare los permisos

cuando los tenga los envio

e: es una unidad virtual no tengo nada en ella

las enradas del hit las he eliminado, las 023 no me deja

gracias por todo

Mensaje por **msc hotline sat** » 30 Oct 2007, 12:34

Bien, pero si E: es virtual puede que en ella se copien ficheros que existan en otras unidades, mira con un Inicio -> Buscar -> Todos los ficheros y carpetas, si encuentras dichos ficheros en otras unidades y nos los envias para analizar

saludos

ms, 30-10-2007

pit23 · Mensaje por **pit23** » 30 Oct 2007, 15:02

he entrado en modo recuperacion y no he encontrado nada ninguno de los anteriores ni el que me pedias que buscase con eliblagla ninguno ni rastro pero el ordenador me sigue lento

aqui te dejo mi log de nuevo

Logfile of HijackThis v1.99.1

Scan saved at 13:58:28, on 30/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\vsnpstd.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\Installer\WINXP\GNConfig.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\bea\Escritorio\HT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [KEWelcomeReBoot] E:\welcome.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [CryptoForge] "C:\Archivos de programa\CryptoForge\CFFiles.exe" "hide"

O4 - HKCU\..\Run: [Tok-Cirrhatus-1629] "C:\Documents and Settings\bea\Configuración local\Datos de programa\br4281on.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: GN-WIKG Utility.lnk = C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\Installer\WINXP\GNConfig.exe

O4 - Global Startup: headcall.lnk = E:\GoJoin_Voip\headcall\headcall.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143936916109

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-514232ec889cf491.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,916,0

O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2A62F90D-A9E2-4712-93EE-67D6AE3D69D0}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: IntelWireless - C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: System Restore Scheduling Service (srsvc) - Unknown owner - C:\WINDOWS\system32\srsvc.exe (file missing)

O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.exe (file missing)

muhcas gracias perdon por las mayusculas tengo prisa; clasee

Mensaje por **msc hotline sat** » 30 Oct 2007, 16:48

Pues envianos estos ficheros para analizar:

welcome.exe de donde esté...

C:\Documents and Settings\bea\Configuración local\Datos de programa\br4281on.exe"

GoJoin_Voip\headcall\headcall.exe de donde esté

C:\Archivos de programa\CryptoForge\CFFiles.exe"

C:\Documents and Settings\bea\Configuración local\Datos de programa\br4281on.exe"

y elimina estas claves, o no arrancas en modo seguro o es que existen estos ficheros que lanza, y si es asi, envianoslos para analizar:

O23 - Service: System Restore Scheduling Service (srsvc) - Unknown owner - C:\WINDOWS\system32\srsvc.exe (file missing)

O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.exe (file missing)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y nos posteas el contenido del c:\infosat.txt, pues no nos cuadra que no hayas detectado y eliminado el Bagle, ya que ahora ya no está ...

saludos

ms, 30-10-2007

el_k_zuela · Mensaje por **el_k_zuela** » 30 Oct 2007, 17:16

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:58:53, on 30-10-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAL.EXE

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Orbitdownloader\orbitdm.exe

C:\Archivos de programa\Orbitdownloader\orbitnet.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus C67 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAL.EXE /P23 "EPSON Stylus C67 Series" /O6 "USB001" /M "Stylus C67"

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Archivos de programa\LingoCom\Translator.lnk

O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Archivos de programa\LingoCom\Translator.lnk

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.cl

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-CL/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190511612281

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab

O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

--

End of file - 8078 bytes

Mensaje por **msc hotline sat** » 30 Oct 2007, 17:33

Vamos a ver. el_k_zuela, leete las Normas, la proxima ya no seras avisado...

Ni se puede postear dos logs del HJT en un mismo Tema, como has hecho, ni se puede postear en paralelo, y este está repetido en:

https://foros.zonavirus.com/podrian-revisar-si-tengo-algo-porfa-dejar-sxs-log-solved-vt22045.html?highlight=

y está muy claro :

https://foros.zonavirus.com/viewtopic.php?f=1&t=530

[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

pit23 · Mensaje por **pit23** » 30 Oct 2007, 18:17

no me encuentra nada, seguire probando pero el ordenador cada vez me va mas lento

Mensaje por **msc hotline sat** » 30 Oct 2007, 18:35

Pues arranca en modo seguro, para que no esté el virus en memoria, busca los ficheros pedidos, los copias a una carpeta de cuarentena y luego arrancas normal y nos los envias como indicamos:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y mientras renombras la extension de diochos ficheros a .VIR para que al reiniciar ya no se pongan en marcha, si luego resultan no ser virus, se vuelven a renombrar y listos

saludos

ms, 30-10-2007

pit23 · Mensaje por **pit23** » 31 Oct 2007, 12:11

arrancando en modo recuperacion de windows sin que ni si quiera se arranque el sistema operativo los encuentro, en system32 no encuentro nada el welcom.exe nada de ninguna de las maneras ni en modo seguro, no se como buscarlos

en system32 encuentro un srsvc.dll pero no .exe y un kernel32.dll pero no el que me dices no se que mas hacer

y el GoJoin_Voip\headcall\headcall.exe gojoin_voip me dice que no es ni directorio

gracias

Mensaje por **msc hotline sat** » 31 Oct 2007, 14:07

Pues mira los procesos y claves que indica el HJT AL RESPECTO:

O4 - HKLM\..\Run: [KEWelcomeReBoot] E:\welcome.exe

O4 - HKCU\..\Run: [CryptoForge] "C:\Archivos de programa\CryptoForge\CFFiles.exe" "hide"

O4 - HKCU\..\Run: [Tok-Cirrhatus-1629] "C:\Documents and Settings\bea\Configuración local\Datos de programa\br4281on.exe"

O4 - Global Startup: headcall.lnk = E:\GoJoin_Voip\headcall\headcall.exe

SI no tienes ni conoces los ficheros que se lanzan en ellas, eliminalas---

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 31-10-2007

pit23 · Mensaje por **pit23** » 02 Nov 2007, 18:21

he hecho lo que me dices y no encuentro ninguno de los ficheros en ninguno de los modos de arranque ni arrancando windows en modo recuperacion, el hit no me deja eliminar ninguna de las entradas que me dices, me sigue apareciendo el hldrrr.exe y el fcmedx, elibagla no me elinina ninguno

el ordenador me sigue funcionando lento,

gracias otra vez

Mensaje por **lucl** » 02 Nov 2007, 18:24

Intenta encontrar los archivos uno a uno con el buscareg a ver si das con alguno y si es asi sigue las indicaciones de msc de renombrarlos a .VIR y de enviarnoslo, dinos si pudiste, saludos

http://www.zonavirus.com/descargas/buscareg.asp

Mensaje por **msc hotline sat** » 02 Nov 2007, 18:37

Bueno, todo ello es popsible que sea por culpa del Bagle, que tiene RootKit y oculta ficheros, claves y procesos, pero te deciamos:

[quote]ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y no hemos visto el contenido del infosat.txt por ninguna parte ...

Posteanoslo con un copiar y pegar y veremos qué es lo que detecta y no detecta el ELIBAGLA, y si pide muestras de algun sospechoso o se trata de una nueva variante totalmente desconocida ... ???

saludos

ms, 2-11-2007

pit23 · Mensaje por **pit23** » 03 Nov 2007, 11:56

aqui os dejo mi nuevo log ;

Logfile of HijackThis v1.99.1

Scan saved at 11:28:49, on 03/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\vsnpstd.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\bea\Escritorio\HT.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\Installer\WINXP\GNConfig.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [CryptoForge] "C:\Archivos de programa\CryptoForge\CFFiles.exe" "hide"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: GN-WIKG Utility.lnk = C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\Installer\WINXP\GNConfig.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143936916109

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-514232ec889cf491.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,916,0

O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: IntelWireless - C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: System Restore Scheduling Service (srsvc) - Unknown owner - C:\WINDOWS\system32\srsvc.exe (file missing)

O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.exe (file missing)

he encontrado registros con el nombre que me digiste algunos no todos y los e eliminado con el buscareg, al pasar el elibagla no encuentra nada el archivo infosat esta vacio solo pone el numero de elementos analizados y las acciones realizadas por defecto que son ninguna, no dice nada por eso no lo posteo.

el ordenador me va lento a pesar de eliminar los registros dichos, fcemedx.exe, welcom.exe, headcal.exe, de hdlrrr.exe no he encontrado nada, todos ellos con el buscareg.

antes de pasar el buscareg me aparecian en el log de hit pero al eliminarlos con buscareg no me aparecen ya pero me va igual de mal.

muchas gracias otra vez

Mensaje por **msc hotline sat** » 03 Nov 2007, 12:36

Pues estamos ante un caso resistente ...

Envianos este fichero que aparece en el HJT y que podría ser algo relacionado con la ocultacion de algun virus que no vieramos debido a una encriptacion con dicha utilidad. La analizaremos y veremos de qué se trata:

C:\Archivos de programa\CryptoForge\CFFiles.exe

Y elimina estas claves, que lanzan ficheros no visibles, podría ser que estuvieran ocultos o hubiera algun RootKit por ahí, en cualquier caso si se dejan eliminar eran inutiles y si persisten tras un FIX CHECKED es que los ficheros existen, y será cuestion de encontrarlos y enviarnoslos para que los analicemos:

O23 - Service: System Restore Scheduling Service (srsvc) - Unknown owner - C:\WINDOWS\system32\srsvc.exe (file missing)

O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.exe (file missing)

como siempre:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 3-11-2007

nota: Y posteanos tambien el contenido de C\BUSCAREG.TXT para ver las claves que eliminaste, por si hubiera alguna explicacion por ello. - Hazlo con un copiar y pegar en la proxima respuesta a este Tema, gracias. - ms

pit23 · Mensaje por **pit23** » 04 Nov 2007, 23:54

las claves que me dices no me deja eliminarlas, las busque en system32 con modo recuperacion de windows y no me aparecen ninguno de los dos archivos.

enseguida os pasare lo que me dice el buscareg, respecto al fcmedx.exe sigue encontrandolo me dice win32 fcmedx.exe,

---------------------------

buscareg

---------------------------

¿Quiere eliminar el Dato de esta Entrada de Registro del Sistema?

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Win32" = "fcmedx.exe"

---------------------------

Sí No

---------------------------

y criptoforge, CFFiles.exe

---------------------------

buscareg

---------------------------

¿Quiere eliminar el Dato de esta Entrada de Registro del Sistema?

[HKEY_USERS\S-1-5-21-854245398-329068152-725345543-1004\Software\Microsoft\Search Assistant\ACMru\5603]

"000" = "CFFiles.exe "

---------------------------

Sí No

---------------------------

de hdlrrr.exe no me enuentra nada y de las dos entradas que dices que elimine tampoco

gracias

Mensaje por **msc hotline sat** » 05 Nov 2007, 06:23

Pues aparte del fichero que ya te pediamos, mira si con Inicio -> Buscar -> En todos los ficheros y c arpetas , encuentras el fcmedx.exe y nos lo envias tambien para analizar

Y claro que el Buscareg no te dice nada de las claves que te digo eliminar, pues solo indica las que has eliminado usando dicha utilidad :wink:

Pero no vemos el infosat.txt, y siempre que se usa una utiulidad de evaluacion, se debe postear su contenido, sino no se puede evaluar el resultado..., y asi veremos lo que dijo sobre el bagle y demas, posteanoslo.

saludos

ms, 5-11-2007

pit23 · Mensaje por **pit23** » 05 Nov 2007, 10:17

todos los archivos que me pedisteis los he buscado de todas las maneras y doy con ellos infosat no lo posteo porque no pone nada solo el numero de archivos analizados, aunque si quereis a la proxima lo hare.

os puedo hacer una captura de la consola de windows con todos los procesos que estan en marcha si vale de algo porque otra cosa no se me ocurre, he pasado todos los antivirus habidos y por haber, y no detecto nada, ni panda ni nod32 ni karspesky.

las opciones de carpeta me han desaparecido

pit23 · Mensaje por **pit23** » 05 Nov 2007, 10:18

todos los archivos que me pedisteis los he buscado de todas las maneras y doy con ellos infosat no lo posteo porque no pone nada solo el numero de archivos analizados, aunque si quereis a la proxima lo hare.

os puedo hacer una captura de la consola de windows con todos los procesos que estan en marcha si vale de algo porque otra cosa no se me ocurre, he pasado todos los antivirus habidos y por haber, y no detecto nada, ni panda ni nod32 ni karspesky.

las opciones de carpeta me han desaparecido

pit23 · Mensaje por **pit23** » 05 Nov 2007, 10:36

puedo pasar algun anti rootkit, que me elimine lo que oculta los ficheros?

gracias otra vez

pit23 · Mensaje por **pit23** » 05 Nov 2007, 10:42

Thu May 03 17:01:22 2007

EliStartPage v13.87 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\DNQFXM.EXE.Muestra EliStartPage v13.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DNQFXM.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

Entrada Eliminada [HKLM\...\Run] "DNQFXM"="c:\windows\system32\dnqfxm.exe dnqfxm"

Entrada Eliminada [HKLM\...\Run] "SDR6Y_Check"=""C:\Archivos de programa\Archivos comunes\DriveCleaner 2006 Free\sdrmon.exe""

Eliminada Carpeta "%Application Data%\HbTools"

Eliminada Carpeta "%Archivos de Programa%\Hotbar"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 03 17:02:13 2007

EliStartPage v13.87 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\DriveCleaner 2006 Free\SDRMON.EXE --> Acceso Denegado, DriveCleaner(dldr)

C:\Archivos de programa\Archivos comunes\DriveCleaner 2006 Free\SDRMON.EXE.VIR --> Eliminado, DriveCleaner(dldr)

C:\System Volume Information\_restore{B18F5AA6-746E-4F04-B37B-58ACF2A5D8AB}\RP298\A0046785.DLL --> Eliminado, ErrorSafe

C:\System Volume Information\_restore{B18F5AA6-746E-4F04-B37B-58ACF2A5D8AB}\RP313\A0053460.EXE --> Eliminado, DriveCleaner(dldr)

C:\System Volume Information\_restore{B18F5AA6-746E-4F04-B37B-58ACF2A5D8AB}\RP314\A0053655.EXE --> Eliminado, Hotbar

C:\System Volume Information\_restore{B18F5AA6-746E-4F04-B37B-58ACF2A5D8AB}\RP314\A0053658.EXE --> Eliminado, Hotbar

C:\System Volume Information\_restore{B18F5AA6-746E-4F04-B37B-58ACF2A5D8AB}\RP314\A0053659.DLL --> Eliminado, Hotbar

C:\System Volume Information\_restore{B18F5AA6-746E-4F04-B37B-58ACF2A5D8AB}\RP314\A0053660.EXE --> Eliminado, Hotbar

C:\System Volume Information\_restore{B18F5AA6-746E-4F04-B37B-58ACF2A5D8AB}\RP314\A0053662.EXE --> Eliminado, Hotbar

C:\System Volume Information\_restore{B18F5AA6-746E-4F04-B37B-58ACF2A5D8AB}\RP317\A0054958.DLL --> Eliminado, ErrorSafe

C:\System Volume Information\_restore{B18F5AA6-746E-4F04-B37B-58ACF2A5D8AB}\RP323\A0055148.EXE --> Eliminado, DriveCleaner(dldr)

Thu May 03 17:08:07 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Thu May 03 17:08:09 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{B18F5AA6-746E-4F04-B37B-58ACF2A5D8AB}\RP298\A0046556.inf --> Eliminado, BackDoor.CMQ (inf)

Thu May 03 17:24:40 2007

EliStartPage v13.87 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 03 17:24:48 2007

EliStartPage v13.87 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu May 03 22:05:08 2007

EliStartPage v13.88 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 03 22:05:33 2007

EliStartPage v13.88 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu May 03 22:12:57 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Thu May 03 22:13:04 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Oct 29 20:04:55 2006

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Oct 29 20:04:59 2006

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Oct 29 20:47:17 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\BLRYYUR.EXE.Muestra EliStartPage v14.93

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BLRYYUR.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\HOTTVPLAYER.DLL --> Eliminado HotTV

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

Entrada Eliminada [HKLM\...\Run] "BLRYYUR"="c:\windows\system32\blryyur.exe blryyur"

Eliminada Class, "{5DDE5591-A8AB-4897-93EF-1E4E943F85A7}" -> C:\Archivos de programa\Video ActiveX Access\iesplg.dll

Eliminada Class, "{FD31BF07-70E3-4B98-8F70-0970AF614275}" -> C:\WINDOWS\system32\HotTVPlayer.dll

Eliminada Carpeta "%Archivos de Programa%\Video Activex Access"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Mon Oct 29 20:47:50 2007

EliTriIP v4.05 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Oct 29 20:47:51 2007

EliTriIP v4.05 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Eliminados Ficheros Temporales del IE

Mon Oct 29 20:47:57 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Oct 29 20:47:58 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Oct 29 20:48:28 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\Temp\HOTTVPLAYER.EXE --> Eliminado, HotTV

C:\WINDOWS\$NtServicePackUninstall$\APPWIZ.CPL --> Eliminado, DownLoader.VB.FT

ahora no me aparece nada

Mensaje por **msc hotline sat** » 05 Nov 2007, 10:57

Estas usando version antiguas de estas utilidades. Siempre se han de descargar las ultimas existentes antes de probarlas, para controlar lo ultimo conocido, por si acaso si tiene algo nuevo.

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y PRUEBALAS ARRANCANDO EN MODO SEGURO, PARA ELUDIR ROOTKITS en lo posible.

saludos

ms, 5-11-2007

pit23 · Mensaje por **pit23** » 05 Nov 2007, 14:46

me descargue la ultima actualizacion de los que me dices y no me encontraron nada, ademas analizo mi pen que creo es el foco de infeccion de dicho virus, ya que lo conecte a un ordenador con virus y me los pego seguro, y no me encuentra nada.

creo que si limpio mi pen limpiare mi ordenador,

he bajado algun anti root a ver si me hace algo

ya te contare

Mensaje por **msc hotline sat** » 05 Nov 2007, 14:58

Limpiando tu pen conseguiras que no propague mas el virus que pueda tener, pero no que baya bien el ordenador por ello ..., y si no proteges dicho pendrive, en cuanto lo insertes de nuevo volverás a infectarlo, si el ordemador está infectado con dicho virus

Por ello hoy estamos haciendo una utilidad "ELIPEN" para proteccion de propagacion de virus a traves de los pendrive:

https://foros.zonavirus.com/apao-que-impide-la-propagacion-actual-de-virus-de-pendrive-vt22078.html

Si quieres puedes probar manualmente de crear dicha carpeta en este pendrive, y si no lo consigues, por haber ya un fichero AUTORUN.INF en él, señal que tienes virus !, entonces edita con el bloc de notas dicho fichero y postealo cin un copiar y pegar en tu proximo post de respuesta a este Tema, y veremos el fichero que lanza, y en su caso pediremos que nos lo envies para su analisis.

Y por supuesto que una vez analizado y controlado, la misma utilidad que sirva para eliminar el virus del pen, servirá para limpiar el ordenador.

Y mientras, prueba el ELISTARA actual con el pendrive insertado y tras ello posteanos el contenido del ultimo C:\INFOSAT.TXT, pues si hay algun \AUTORUN.INF lo veremos

saludos

ms, 5-11-2007

pit23 · Mensaje por **pit23** » 05 Nov 2007, 17:58

a lo del pen me refeia a que si escaneo el pen y lo detetcta detectara el del ordenador, porsupuesto que si no elimino el del ordenador siempre lo cogere otra vez, voy a ver si hago eso que dices del pen y saco algo y os cuento.

otra cosa es que me he puesto a buscar rootkits con avg antirootkits y me esta detectando un monton de una carpeta de windows que no se que es y me ocupa 200megas y se llama

$hf_mig$ no se que es esa carpeta ya he probado elistar nuevo con mi pen varias veces, limpio como la patena no me dice nada

pit23 · Mensaje por **pit23** » 05 Nov 2007, 18:23

Sun Nov 04 23:03:29 2007

BuscaReg v1.0 (c)2003 S.G.H. / Satinfo S.L.

--------------------------------------------

LISTADO de Entradas de Registro Eliminadas a petición del Usuario.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Win32"="fcmedx.exe"

Sun Nov 04 23:07:08 2007

BuscaReg v1.0 (c)2003 S.G.H. / Satinfo S.L.

--------------------------------------------

LISTADO de Entradas de Registro Eliminadas a petición del Usuario.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Win32"="fcmedx.exe"

Sun Nov 04 23:23:34 2007

BuscaReg v1.0 (c)2003 S.G.H. / Satinfo S.L.

--------------------------------------------

LISTADO de Entradas de Registro Eliminadas a petición del Usuario.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Win32"="fcmedx.exe"

Sun Nov 04 23:56:00 2007

BuscaReg v1.0 (c)2003 S.G.H. / Satinfo S.L.

--------------------------------------------

LISTADO de Entradas de Registro Eliminadas a petición del Usuario.

[HKEY_USERS\S-1-5-21-854245398-329068152-725345543-1004\Software\Microsoft\Search Assistant\ACMru\5603]

"000"="CFFiles.exe "

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Win32"="fcmedx.exe"

Mon Nov 05 01:22:31 2007

BuscaReg v1.0 (c)2003 S.G.H. / Satinfo S.L.

--------------------------------------------

LISTADO de Entradas de Registro Eliminadas a petición del Usuario.

[HKEY_USERS\S-1-5-21-854245398-329068152-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run]

"CryptoForge"="\"C:\\Archivos de programa\\CryptoForge\\CFFiles.exe\" \"hide\""

[HKEY_USERS\S-1-5-21-854245398-329068152-725345543-1004\Software\Microsoft\Search Assistant\ACMru\5603]

"000"="cryptoforge"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"{A877C924-EC23-4C46-9698-35D66F1C02E2}"="CryptoForge Shell Extension"

[HKEY_USERS\S-1-5-21-854245398-329068152-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cfe\OpenWithProgids]

"CryptoForge.Files.1"=hex(0):

[HKEY_USERS\S-1-5-21-854245398-329068152-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cfd\OpenWithProgids]

"CryptoForge.Text.1"=hex(0):

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\CFText.exe\shell\open\command]

@="\"C:\\Archivos de programa\\CryptoForge\\CFText.exe\" \"%1\""

ya he hecho lo que me pediste del pen y me deja crear el directorio sin problemas

Mensaje por **msc hotline sat** » 05 Nov 2007, 18:43

Claro, porque no tenias virus tipico de los pen, a base del AUTORUN.INF, y creando esta carpèta, ahora aunque un virus ponga ficheros viricos en dicho pen drive, no se autoejecutarán al no existir el AUTORUN.INF que los lance.

Hoy no ha habido tiempo, pero lo tenemos a medias, esta será la presentacion de la utilidad ELIPEN (ver imagen adjunta)

saludos

ms, 5-11-2007

pit23 · Mensaje por **pit23** » 05 Nov 2007, 19:41

no estudiaras o estudiaste en la politecnica de valencia?

podeis decirme si tengo algo? (SOLUCIONADO)

podeis decirme si tengo algo? (SOLUCIONADO)

elibagla no me encuentra nada

NO ENCUENTRO NINGUNO DE LOS QUE ME HAS DICHO

el mio me repsonden porfisss

sigo sin encontrar nada

he hecho todo eso

mi nuevo log

las claves que me dices no me deja eliminarlas

los archivods que me pedis

los archivods que me pedis

perdon por los dos post, algun anti rootkit?

un infosat de los primeros que pase al principio de mi tema

hare lo que me dices pero

voy a ver que pasacon mi pen

archivo de texto de buscareg

estudias estudiabas en la politecnica de valencia