Parece quer tengo Troyanos pero ya les pase el Elistara

[abelnolasco]

Buenos dias amigos de ZONAVIRUS es un gusto estar con ustedes este nuevo año y espero que la hayan pasado muy bien a lado de sus familiares y/o amigos.

tengo un pequeño problema, parece quer tengo Troyanos, pero ya les pase el Elistara. Aqui les envio el Log. Muy agradecido de antemano.





Logfile of HijackThis v1.99.1

Scan saved at 11:44:46 a.m., on 01/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE

C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe

C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\rserver30\RServer3.exe

C:\WINDOWS\system32\rserver30\FamItrfc.Exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\PERSYS~1\Perav\pertsk.exe

C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe

C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C8DA2DD-7F37-4D6E-ABA5-57B04C5A5727}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS1\Services\Tcpip\..\{1C8DA2DD-7F37-4D6E-ABA5-57B04C5A5727}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS2\Services\Tcpip\..\{1C8DA2DD-7F37-4D6E-ABA5-57B04C5A5727}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll

O23 - Service: DF5Serv - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVACNT.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Radmin Server V3 (RServer3) - Unknown owner - C:\WINDOWS\system32\rserver30\RServer3.exe" /service (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

[msc hotline sat]

Pues dinos en qué te basas para decir que tienes troyanos...



No vemos claves víricas en el log enviado, como máximo este resto que puedes eliminar si quieres:



O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)



Pero en funcion de lo que nos digas, propondremos ir mas a fondo en lugar de usar el HJT, quizas el AntiRootKit, o, si es Fake Alert el SPROCES,... Dinos la causa para obrar en consecuencia



saludos



ms, 2-1-2008

[abelnolasco]

Buenas sr. Administrador mi problema en si es que al encender el sistema operativo windowsxp despues que aparece el escritorio tambien se activa el Perantivirus y se queda estatica en el centro del escritorio y no desaparece como deberia hacerlo normalmente. Tambien aparece un mensaje que dice la instruccion xxxxxxx no hay suficiente memoria, algo asi y tengo que aceptar cual seria el problema en ralidad, Y tambien el programa del descongelador (Deep Freeze 5.0) no se puede desactivar para poder hacer algun cambio en el sistema.



Muchas gracias por la respuesta que me pueda brindar, o sera necesario instalar nuevamente el sistema operativo.

[msc hotline sat]

Pues lo mas probable es que tengas dañado el Per antivirus.



Arranca en modo segur0 y desde Agregar o Quitar programas mira de desinstalarlo



Liego arranca normal y si todo lo demas va bien, mira de instalarlo de nuevo.



saludos



ms, 2-1-2008





NOTA: y de paso dinos cuanta memoria RAM tiene este equipo

[abelnolasco]

Les envio el InfoSat de mi pc, Gracias. :(



Wed Jan 02 17:09:42 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO0.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (G)

open=usdeiect.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Jan 02 17:09:57 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\N1DEIECT.COM --> Eliminado, PWS-OnLineGames.NRE

C:\System Volume Information\_restore{21051A54-3073-48DE-8371-3465CD847028}\RP1\A0000166.COM --> Eliminado, PWS-OnLineGames.NRE



Nº Total de Directorios: 3881

Nº Total de Ficheros: 42115

Nº de Ficheros Analizados: 19614

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Wed Jan 02 17:15:45 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 1415

Nº Total de Ficheros: 13334

Nº de Ficheros Analizados: 3061

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jan 02 17:17:15 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 16

Nº Total de Ficheros: 164

Nº de Ficheros Analizados: 62

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sigo teniendo problema con el Congelador, como el sistema esta congelado vuelve nuevamente el virus que detecto, como puedo hacer para eliminar el Deep Freeze(congelador) para que hagan efecto la eliminacion. no puedo hacer nada si no lo descongelo el sistema.

[Claudia34]

Realiza un windows update completo lo indica el elistara. Saludos.

[msc hotline sat]

y además enviarnos las muestras que se piden :



Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.35



Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v15.35



Detectado AUTORUN.INF en la Unidad (C)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF



o este otro que es igual pero en D:



Detectado AUTORUN.INF en la Unidad (D)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF



y este otro:



Detectado AUTORUN.INF en la Unidad (G)

open=usdeiect.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Tras recibirlos los examinaremos e informaremos



saludos



ms, 3-1-2007

[msc hotline sat]

Pues pruebe la nueva version de hoy del ELISTARA 15.37 que ya controlara nuevas versiones del AMVO y AMVO0., y nos informa del resultado posteando el contenido del C:\infosat.txt



Descarguela a partir de las 16 h GMT:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 4-1-2008

[msc hotline sat]

Recibidas muestras, ya son detectadas por el actual ELISTARA como PWS ONLINEGAMES



Compruebelo y posteenos el contenido de c:\infosat.txt



saludos



ms, 7-1-2008