http://www.thenetworkcom.com/last-update/upd_cn.zip

[snackelive]

hola amigos desde unos dias atrasestoy teniendo uyn problema con un aviso que me sale en nod32 la cual me dice que se estan intentando descragar un paquete comprimido con varias amenazas esto me tira nod 32:



31/10/2007 21:14:23 IMON Archivo comprimido http://www.thenetworkcom.com/last-update/upd_cn.zip varias infecciones Conexión terminada fernando\Administrador

31/10/2007 21:10:35 IMON Archivo comprimido http://www.thenetworkcom.com/last-update/upd_cn.zip varias infecciones Conexión terminada fernando\Administrador

31/10/2007 21:08:24 IMON Archivo comprimido http://www.thenetworkcom.com/last-update/upd_cn.zip varias infecciones Conexión terminada fernando\Administrador

31/10/2007 21:05:16 IMON Archivo comprimido http://www.thenetworkcom.com/last-update/upd_cn.zip varias infecciones Conexión terminada fernando\Administrador

31/10/2007 21:03:25 IMON Archivo comprimido http://www.thenetworkcom.com/last-update/upd_cn.zip varias infecciones Conexión terminada fernando\Administrador

31/10/2007 20:49:13 IMON Archivo comprimido http://www.thenetworkcom.com/last-update/upd_cn.zip varias infecciones Conexión terminada fernando\Administrador

31/10/2007 20:44:27 IMON Archivo comprimido http://www.thenetworkcom.com/last-update/upd_cn.zip varias infecciones Conexión terminada fernando\Administrador

31/10/2007 15:12:44 IMON Archivo comprimido http://www.thenetworkcom.com/last-update/upd_cn.zip varias infecciones Conexión terminada fernando\Administrador

31/10/2007 15:10:21 IMON Archivo comprimido http://www.thenetworkcom.com/last-update/upd_cn.zip varias infecciones Conexión terminada fernando\Administrador

31/10/2007 14:00:24 IMON Archivo comprimido http://www.thenetworkcom.com/last-update/upd_cn.zip varias infecciones Conexión terminada fernando\Administrador





la unica opcion que me da el antivirus es bloquear la conexion pero al cabo de un rato me vuelve a salir



he corrido el nod32 scanner, el cccleaner y el elistara pero sigue igual

[lucl]

peganos el log que te dejo elistara y complementa analisis con elitriip, ademas ejecuta hijackthis y veremos tus claves, saludos





http://www.zonavirus.com/descargas/elitriip.asp







[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[msc hotline sat]

Se trata de un adware ya controlado por casi todos los antivirus:



File upd_cn.zip received on 11.01.2007 09:36:12 (CET)





Antivirus Version Last Update Result

AhnLab-V3 2007.11.1.1 2007.11.01 -

AntiVir 7.6.0.30 2007.10.31 TR/BHO.N.5

Authentium 4.93.8 2007.10.31 -

Avast 4.7.1074.0 2007.10.31 Win32:Adware-gen

AVG 7.5.0.503 2007.11.01 BHO.CKL

BitDefender 7.2 2007.11.01 Trojan.Agent.BHO.N

CAT-QuickHeal 9.00 2007.10.31 TrojanDownloader.Zlob.cpx

ClamAV 0.91.2 2007.11.01 Trojan.Zlob-393

DrWeb 4.44.0.09170 2007.10.31 Trojan.Click.4337

eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm

eTrust-Vet 31.2.5259 2007.11.01 Win32/VMalum.BISM

Ewido 4.0 2007.10.31 Downloader.Agent.dag

FileAdvisor 1 2007.11.01 -

Fortinet 3.11.0.0 2007.10.19 Agent.GCK!tr

F-Prot 4.3.2.48 2007.10.31 W32/Trojan2.SS

F-Secure 6.70.13030.0 2007.11.01 Trojan-Downloader.Win32.Zlob.cpx

Ikarus T3.1.1.12 2007.11.01 Trojan.Agent.BHO.N

Kaspersky 7.0.0.125 2007.11.01 not-a-virus:AdWare.Win32.Agent.lf

McAfee 5153 2007.10.31 Generic.f

Microsoft 1.2908 2007.11.01 TrojanDownloader:Win32/Zlob.gen!L

NOD32v2 2631 2007.11.01 Win32/Adware.Agent.NFX

Additional information

File size: 388090 bytes

MD5: 4ac8d94db33f086a88816919ba7f0654

SHA1: d1c24709838419dca0678bb4560217b49ec059e9



Como que dices usar NOD32 que lo detecta como Win32/Adware.Agent.NFX , lanza una exploracion sobre todo el disco duro y si no detectas nada, ha sido simplemente un intento de intrusion, pero que se ha quedado en esto



saludos



ms, 1-11-2007

[snackelive]

Mon Oct 08 13:29:26 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

ShellExecute=\Install\WPI\wpi.hta

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Oct 08 13:29:41 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Alcohol Soft\Alcohol 120\ALCOHOL.EXE --> Eliminado, SystemPoser

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Tue Oct 09 18:32:56 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 09 18:33:07 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Oct 09 18:38:35 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\DRIVERS\trjeta tv\713xTVCard\Utility\713XTVCTRL.EXE --> Eliminado, MoviePass



Mon Oct 22 14:22:24 2007

EliStartPage v14.88 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[lucl]

si echas un vistazo veras que has puesto el infosat de ELISTARA, no de ELITRIIP , y ojo a la recomendacion de msc te copio





[i]Como que dices usar NOD32 que lo detecta como Win32/Adware.Agent.NFX , lanza una exploracion sobre todo el disco duro y si no detectas nada, ha sido simplemente un intento de intrusion, pero que se ha quedado en esto [/i]



hazlo y comentanos saludos

[snackelive]

sigue apareciendome la ventana de nod 32 le hice correr elistara, elitrip y nod 32 scaner en modo seguro si se fijan bien mas aba jo en lista aparece el log de elitrip

[msc hotline sat]

Pues por mucho que nos fijemos, no hay el log del ELITRIIP ...



y tampoco el del HJT, como indicaba lucl que postearas...



Cuando lo hayas hecho lo analizaremos e infromaremos



saludos



ms, 2-11-2007

[snackelive]

Ok aca junto con los anteriores estan los log que hice cn elistara ,hijackthis y elitriip





tmbn hize correr spyware termiantor y esto me salió



[url=http://www.subirimagenes.com/imagen-de-troyan-1589856.html][img]http://s1.subirimagenes.com/imagenes/previo/thump_1589856troyan.jpg[/img][/url]





Mon Oct 08 13:29:26 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

ShellExecute=\Install\WPI\wpi.hta

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Oct 08 13:29:41 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Alcohol Soft\Alcohol 120\ALCOHOL.EXE --> Eliminado, SystemPoser

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Tue Oct 09 18:32:56 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 09 18:33:07 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Oct 09 18:38:35 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\DRIVERS\trjeta tv\713xTVCard\Utility\713XTVCTRL.EXE --> Eliminado, MoviePass



Mon Oct 22 14:22:24 2007

EliStartPage v14.88 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Oct 22 14:22:28 2007

EliStartPage v14.88 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4287

Nº Total de Ficheros: 55093

Nº de Ficheros Analizados: 14045

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 27 21:10:13 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 27 21:10:22 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4135

Nº Total de Ficheros: 54076

Nº de Ficheros Analizados: 13822

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Oct 30 18:32:24 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 30 23:48:58 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

H:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (H)

open=

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Oct 30 23:49:16 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 10

Nº Total de Ficheros: 100

Nº de Ficheros Analizados: 7

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Oct 30 23:49:24 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3481

Nº Total de Ficheros: 48740

Nº de Ficheros Analizados: 10809

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Wed Oct 31 01:29:09 2007

EliStartPage v14.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (H)

open=

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Oct 31 01:30:15 2007

EliStartPage v14.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1299

Nº Total de Ficheros: 12722

Nº de Ficheros Analizados: 3039

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Wed Oct 31 21:11:49 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Oct 31 21:11:53 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 31 21:11:55 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Administrador\Escritorio\SmitfraudFix\REBOOT.EXE --> Eliminado, DollarRevenue (dldr)

C:\RECYCLER\S-1-5-21-1957994488-436374069-1343024091-500\DC34.EXE --> Eliminado, DollarRevenue (dldr)

C:\RECYCLER\S-1-5-21-1957994488-436374069-1343024091-500\DC50.EXE --> Eliminado, DollarRevenue (dldr)

C:\RECYCLER\S-1-5-21-1957994488-436374069-1343024091-500\Dc55\REBOOT.EXE --> Eliminado, DollarRevenue (dldr)



Nº Total de Directorios: 4173

Nº Total de Ficheros: 54263

Nº de Ficheros Analizados: 13827

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Thu Nov 01 13:53:51 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Nov 01 13:53:55 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4182

Nº Total de Ficheros: 54425

Nº de Ficheros Analizados: 9984

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Thu Nov 01 14:05:23 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Nov 01 14:05:25 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 483

Nº Total de Ficheros: 5379

Nº de Ficheros Analizados: 1370

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Thu Nov 01 17:03:58 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Nov 01 17:03:59 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\program files\Common Files\system\proxycfg.exe.vir --> Eliminado, RemAdm-WinVNC



Nº Total de Directorios: 4188

Nº Total de Ficheros: 54373

Nº de Ficheros Analizados: 9987

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Nov 01 17:09:59 2007

EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\DRIVERS\Drivers placa mia\Autorun.INF --> Eliminado, BackDoor.CMQ(inf)

D:\DRIVERS\Drivers placa mia\Sound\ALi\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

D:\DRIVERS\Drivers placa mia\Sound\C-Media9738\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

D:\programas\TU_U_2007_6.0.1256\TU_U_2007_6.0.1256\TuneUp Utilities 2007 6.0.1256\KeyGen.exe --> Eliminado, KeyGen.Bublic



Nº Total de Directorios: 1170

Nº Total de Ficheros: 7348

Nº de Ficheros Analizados: 1628

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Thu Nov 01 17:11:30 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Nov 01 17:11:33 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4183

Nº Total de Ficheros: 54319

Nº de Ficheros Analizados: 13780

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







hijackthis





Logfile of HijackThis v1.99.1

Scan saved at 3:19:43, on 02/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\PV92Tray.exe

C:\WINDOWS\713xRMTMon.exe

C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\InkSaver\InkSaver.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe

C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Download Manager\IDMan.exe

C:\WINDOWS\713xRMT.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\honestech\honestech TVR\scheduleTV.exe

C:\Archivos de programa\MagicDisc\MagicDisc.exe

C:\Archivos de programa\Internet Download Manager\IEMonitor.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe

C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Spyware Terminator\SpywareTerminator.exe

C:\WINDOWS\system32\Notepad.exe

C:\WINDOWS\system32\mspaint.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: MSVPS System - {FC91E698-C4BA-4564-9B85-659E38FCE154} - C:\WINDOWS\advrepgds.dll (file missing)

O3 - Toolbar: The sdrmod - {89DA4F2C-91AE-44B2-84A9-A5D9F682E737} - C:\WINDOWS\sdrmod.dll (file missing)

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [TV Card Remote Control Device Monitor] C:\WINDOWS\713xRMTMon.exe

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [InkSaver] C:\Archivos de programa\InkSaver\InkSaver.exe hide

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [IDMan] C:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - Startup: MagicDisc.lnk = C:\Archivos de programa\MagicDisc\MagicDisc.exe

O4 - Global Startup: Scheduler for OEM.lnk = C:\Archivos de programa\honestech\honestech TVR\scheduleTV.exe

O8 - Extra context menu item: Download All Links with IDM - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{208F56D9-9B7F-452E-A1B9-22F35DACF5E7}: NameServer = 200.28.4.129 200.28.4.130

O17 - HKLM\System\CS1\Services\Tcpip\..\{208F56D9-9B7F-452E-A1B9-22F35DACF5E7}: NameServer = 200.28.4.129 200.28.4.130

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: hupsrv - {54608364-B355-4A0F-B178-D0131D276CA7} - C:\WINDOWS\hupsrv.dll

O21 - SSODL: bindmod - {0290B7BA-1AF8-4CCB-AD72-3F94CBFF1DE6} - C:\WINDOWS\bindmod.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

[msc hotline sat]

Bueno, ahora sí que lo vemos :wink:



Pues del log del HJT, :



pUES PUEDE ELIMINAR ESTAS DOS CLAVES:



O2 - BHO: MSVPS System - {FC91E698-C4BA-4564-9B85-659E38FCE154} - C:\WINDOWS\advrepgds.dll (file missing)



O3 - Toolbar: The sdrmod - {89DA4F2C-91AE-44B2-84A9-A5D9F682E737} - C:\WINDOWS\sdrmod.dll (file missing)



Y ENVIARNOS PARA ANALIZAR ESTOS DOS FICHEROS, QUE SON sospechosos:



C:\WINDOWS\hupsrv.dll



C:\WINDOWS\bindmod.dll





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y de lo que le indica el terminator, parece un simple plugin, pruebe el ELITEMPO:





ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp





y, tras reiniciar, nos informa del resultado, gracias



saludos



ms, 2-11-2007

[snackelive]

hice todo lo anterior pero sigo cn el problma, espero los resultados de los analisis de los archivos sospechosos



otra sintoma que no nombre es q aparece a cada rato un ventana negra y desaparace altiro es parecida a las ventanas de ms-dos

y ademas me aparecen archivos con el nombre de archivos en mi sistema pero con la extencion .exe



ejemplo





un archivo llamado cumpleaños.jpg



cambió a cumpleaños.exe



en varias partes de mi computadora

[msc hotline sat]

eSO SÍ QUE ES SIGNIFICATIVO !



Pues envienos muestra de estos ficheros CUMPLEAÑOS.JPG y CUMPLEAÑOS.EXE y los analizaremos



De momento renombre su extension a .VIR y al .BAD de todas partes, y asi cuando reinicie ya no se cargarán en memoria, luego, una vez analizados, ya le informarenmos de la utilidad que le restaurará las claves de registro y buscará otros compañeros del malware donde los hubiera, aunque no se llamaran igual



recuerde:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 2-11-2007

[msc hotline sat]

Implementado control y eliminacion adware AGENT BN en la version de hoy del ELISTARA 14.96



saludos



ms, 5-11-2007